Por que as classificações de aprovação do CEO são importantes para avaliações de risco

Nossa nova verificação de reputação digital fornece uma maneira rápida e fácil de obter uma avaliação de risco para o seu (ou qualquer) negócio. Analisamos as mesmas coisas que outras ferramentas externas de avaliação de risco fazem - configurações SSL, histórico de violações, registros SPF e outros marcadores de autenticidade de domínio, listas negras e atividade de malware. Estamos felizes em oferecer este serviço gratuitamente, porque essa informação é pública e acreditamos que é o que está dentro que realmente importa. A maioria dos elementos que incluímos em nossa avaliação externa não é controversa, mas um resultou em argumentos que duraram vários dias: o índice de aprovação do CEO.

Ao selecionar quais verificações entrariam em nossa avaliação de risco, nós aqui da UpGuard analisamos ferramentas de avaliação de sites semelhantes e selecionamos apenas as verificações que consideramos relevantes para nosso objetivo: avaliação de risco, que se sobrepõe, mas não é idêntica às melhores práticas do site. Além disso, já existem boas ferramentas para executar essas funções de práticas recomendadas, então por que duplicá-las? Também omitimos intencionalmente verificações que achamos que não seriam significativas para calcular o risco de violação de dados e os danos que isso causaria.

Baixe seu modelo de avaliação de risco de fornecedor >

À medida que a economia digital amadureceu, também amadureceu o reconhecimento de que o risco cibernético não pode ser eliminado; deve ser gerenciado.

Por outro lado, optamos por incluir informações que estão fora do escopo de uma avaliação técnica, mas que são profundamente importantes para avaliar o risco. Localização da sede, capitalização de mercado, receita, número de funcionários: todos esses são fatores que contribuem para o risco de uma violação e quão prejudicial essa violação seria. O histórico de violações, da mesma forma, não é algo que você possa alterar editando um arquivo de configuração ou comprando um certificado, mas faz parte do conjunto de fatos que merecem ser considerados ao determinar o risco representado por uma determinada propriedade. Incluímos o índice de aprovação do CEO pelo mesmo motivo.

Como Ashley Madison e Edward Snowden lembraram ao mundo, a atividade interna ainda é uma causa muito real de violações de dados. Como podemos avaliar a probabilidade de um ataque secreto por um indivíduo privilegiado? Parece que os funcionários que sentem um senso de lealdade à sua empresa e que acreditam em sua missão terão menos probabilidade de prejudicá-la intencionalmente. Vice-versa, aqueles que realmente não gostam de seu empregador estarão mais inclinados a prejudicá-lo. Mesmo danos não intencionais causados por contornar as políticas de segurança podem ser atribuídos em parte ao fato de um funcionário acreditar na liderança. O sentimento de alguém sobre o CEO, bem como a alta administração em geral e o trabalho em si, fornecem informações sobre um vetor crítico para a perda de confidencialidade dos dados.

Esse é o caso de incluir esta verificação específica. O argumento contra a inclusão de informações sobre a aprovação do CEO e a satisfação dos funcionários é que esses sentimentos são subjetivos e potencialmente distorcidos por funcionários irritados. Extraímos nossos dados do Glassdoor e, em pequenas empresas, muitas vezes você terá uma imagem desproporcionalmente otimista quando as únicas avaliações forem dos cinco primeiros funcionários. Por esse motivo, incluímos o número de revisões na verificação de risco para deixar claro quando isso está acontecendo. Mas o que é realmente frustrante para um gerente de TI ou segurança é que esse é um problema que eles não podem corrigir. O Github, um site que nós e milhões de outros desenvolvedores usamos, tem controles de segurança impecáveis e uma péssima classificação de CEO. Ao contrário dos riscos técnicos, que têm a agradável simplicidade de estar presentes ou não e têm um caminho lógico para a resolução, os riscos apresentados pela subjetividade humana são inerentemente confusos, probabilísticos e sem uma solução conhecida.

Infelizmente, é assim que acontece com a segurança da informação. Os adversários são humanos, o que significa que o comportamento não é estritamente determinístico. Somente a verificação de fatores que têm um valor booleano tranquilizador presta um desserviço à nossa pontuação e às pessoas que a usam. Assim como alguém pode cair em uma classe de risco que parece injusta - por exemplo, pagar mais pelo seguro de carro como um jovem solteiro quando você sabe que dirige com mais segurança do que seus amigos - é um mal necessário de usar dados para precificar o risco. A boa notícia é que estamos tentando possibilitar que as empresas demonstrem que têm um risco menor do que é aparente externamente por meio de nossa avaliação de reputação digital. Assim como uma seguradora de automóveis pode permitir que os jovens motoristas reduzam suas taxas demonstrando práticas seguras, fornecemos uma avaliação para mostrar que os sistemas internos são suficientemente reforçados para combater o aparecimento de riscos externos.

Resumindo: o índice de aprovação do CEO permaneceu. Se a liderança sênior leva a sério a resiliência digital, não é algo que eles possam simplesmente empurrar para Segurança e Operações. Todos precisam estar a bordo.