Relatório de risco cibernético

O relatório de risco cibernético oferece uma visão estruturada dos riscos de cibersegurança de uma organização, da postura de segurança atual e das estratégias de mitigação de riscos. Use este relatório para obter clareza, transparência e insights acionáveis sobre os riscos de cibersegurança e seu impacto potencial nos objetivos do negócio.

Este relatório funciona como uma ferramenta estratégica de comunicação, fazendo a ponte entre as operações técnicas de cibersegurança e a tomada de decisões empresariais. Ele permite que a liderança tome decisões informadas, baseadas em riscos, e alinhe as iniciativas de cibersegurança aos objetivos gerais do negócio.

Crie seu painel de análises usando os recursos de relatórios personalizáveis. Adapte os recursos visuais e o layout e adicione narrativas para as discussões do conselho. Você também pode compartilhar seu painel com sites do Boards, o que permite o compartilhamento e a publicação de relatórios sem interrupções dentro da Plataforma Diligent One.

Acessando os modelos de relatório no Centro de Atividades

Pré-requisito

Os modelos de relatório devem ser implantados e habilitados por você no seu Centro de Atividades. Para obter assistência, entre em contato com o Gerente de Sucesso do Cliente.

Para informações sobre como acessar e usar o modelo de relatórios no Centro de Atividades, consulte .

Conectando um painel aos sites do Boards

Para obter mais informações sobre conexão do Centro de Atividades aos sites do Boards, consulte Diligent One: Conectando painéis do Centro de Atividades com sites do Boards .

Compreendendo a estrutura do painel

O relatório de risco cibernético oferece diversos recursos importantes, projetados para fornecer uma visão abrangente dos riscos cibernéticos e facilitar a tomada de decisões orientada por dados. A estrutura do painel consiste em seis abas, que permitem construir uma narrativa e apresentar os resultados ao conselho. Ele inclui visualizações e KPIs que indicam as ameaças e vulnerabilidades cibernéticas atuais e emergentes, bem como uma visão histórica do desempenho de cibersegurança da sua organização e das melhorias realizadas. Selecione cada guia abaixo para saber mais.

Esta aba apresenta uma visão concisa dos principais insights de cibersegurança, adaptados para discussões em nível de conselho. É possível visualizar informações contextuais juntamente com métricas-chave selecionadas de outras seções do relatório, garantindo que o conselho possa tomar decisões informadas com base em uma narrativa clara e objetiva.

Recursos visuais disponíveis

Disponibilizamos os seguintes recursos visuais nesta seção:

Resumo executivo

Use esta seção para fornecer contexto estratégico, destacar tendências e detalhar os esforços de mitigação de riscos, facilitando a tomada rápida de decisões pela liderança.

Panorama de ameaças

Esta visualização apresenta insights sobre o panorama atual de ameaças de cibersegurança, resumindo as ameaças relevantes enfrentadas pela sua organização.

Dados de referência

Esta seção destaca as classificações históricas de risco de cibersegurança de plataformas como BitSight, permitindo comparações com os padrões do setor.

  • Classificações de risco da BitSightAs classificações de risco da BitSight são pontuações numéricas que variam de 250 a 900, baseadas em dados objetivos, em tempo real e não intrusivos, coletados de fontes públicas disponíveis. Use os gráficos de linha para visualizar as classificações históricas de cibersegurança da sua organização. Essa visualização ajuda a acompanhar a tendência da eficácia da cibersegurança ao longo do tempo.
  • Maturidade do NIST Cybersecurity FrameworkO framework de maturidade, desenvolvido pelo National Institute of Standards and Technology (NIST), fornece diretrizes estruturadas, melhores práticas e padrões para ajudar sua organização a gerenciar e reduzir riscos de cibersegurança. Esses níveis de maturidade variam de Adhoc a Otimizado, indicando a progressão de práticas iniciais e não estruturadas para processos de cibersegurança totalmente otimizados e integrados.

Principais riscos

Obtenha detalhes dos riscos de cibersegurança mais críticos, incluindo seu status e as ações necessárias para mitigação.

  • ResumoPrepare uma visão concisa dos riscos mais críticos identificados, suas tendências e quaisquer mudanças desde a última revisão.
  • Registro de RiscosDestaque os riscos críticos que apresentaram mudanças significativas desde a última revisão. A tabela inclui riscos considerados críticos com base na gravidade, nos fatores de pontuação de risco e em outros critérios acordados. Ela descreve iniciativas como planos de remediação, o responsável pelo risco e o cronograma para tratá-los.
  • Riscos críticos em atrasoEsta representação visual destaca o status dos riscos críticos, distinguindo entre aqueles concluídos dentro do prazo e os que estão em atraso.

Incidentes

Esta seção resume a frequência e a natureza dos incidentes de cibersegurança reportados, apresentando essas informações de forma compreensível.

  • ResumoResuma o número de incidentes críticos reportados em cada trimestre, juntamente com as ações tomadas para resolvê-los e quaisquer ações pendentes.
  • Incidentes por trimestreEste gráfico ilustra o número de incidentes cibernéticos registrados e reportados em cada trimestre do ano.

Iniciativas

Obtenha detalhes sobre as iniciativas de cibersegurança em andamento ou propostas que buscam aprimorar a postura de segurança da sua organização.

  • Concluídas e resultadosDestaque as iniciativas significativas que foram concluídas e seu impacto.
  • PriorizadasDestaque algumas iniciativas-chave ou estratégicas que foram priorizadas para o próximo trimestre e seu impacto.

Esta aba fornece definições e explicações de todos os principais termos, KPIs e conceitos técnicos incluídos no relatório de risco cibernético, para referência rápida. Ela permite um entendimento comum e acessível da linguagem complexa ou técnica usada em outras partes do relatório, apoiando uma comunicação clara e uma tomada de decisão mais eficaz.

As seguintes terminologias são explicadas nesta seção:

  • Gestão de Vulnerabilidadesé um processo proativo voltado à identificação, avaliação, mitigação e monitoramento de vulnerabilidades nos sistemas, redes e softwares de uma organização, com o objetivo de reduzir os riscos de cibersegurança.

  • Ferramentas de Varredura são utilizadas para identificar vulnerabilidades e avaliar riscos de segurança na infraestrutura de TI de uma organização. Essas ferramentas auxiliam no monitoramento contínuo e na análise dos sistemas, a fim de detectar fragilidades de segurança que podem ser exploradas por atacantes.

  • Testes de Intrusão identificam vulnerabilidades, fraquezas e lacunas de segurança na infraestrutura de TI de uma organização e ajudam a avaliar os controles de segurança, determinar possíveis vetores de ataque e apoiar a mitigação de riscos antes que atacantes reais possam explorá-los.

  • Gerenciamento de Informações e Eventos de Segurança (Security Incident and Event Management, SIEM) é um software que consolida, em tempo real, as informações e eventos de segurança de uma organização. Ele desempenha um papel fundamental na identificação, no gerenciamento e na resposta a incidentes de segurança, ao fornecer uma visão abrangente da postura de segurança da organização.

  • Gestão de Incidentes é um processo estruturado para minimizar o impacto de incidentes de segurança, restaurar rapidamente as operações normais e prevenir ocorrências futuras.

  • NIST CSF Cybersecurity Framework é um framework que fornece diretrizes estruturadas, melhores práticas e padrões para identificar, proteger, detectar, responder e se recuperar de ameaças cibernéticas.

Esta aba ajuda a acompanhar o status das auditorias em diferentes produtos ou serviços, com referência a frameworks comuns, como System and Organization Controls 2 (SOC 2) e Health Insurance Portability and Accountability Act (HIPAA). Obtenha um resumo dos resultados recentes das auditorias, identifique áreas de não conformidade e veja quais produtos ou domínios foram aprovados em suas verificações.

Recursos visuais disponíveis

Disponibilizamos os seguintes recursos visuais nesta seção:

Conformidade/Auditoria

Use esta seção para registrar o status dos relatórios de auditoria por produto ou serviço.

Status do Relatório de Auditoria (por Produto / Serviço)Este gráfico ilustra o status das auditorias realizadas em diversos produtos ou serviços. Ele mostra quais produtos ou serviços foram auditados, os diferentes frameworks de auditoria utilizados, como SOC 2 e HIPAA, e o status dessas auditorias.

Treinamento em Segurança

Use esta seção para acompanhar as métricas de treinamento em segurança e preparar o relatório de conclusão da campanha de conscientização em segurança.

Conclusão da Campanha de Conscientização em Segurança Este gráfico acompanha a conclusão dos programas de conscientização em segurança, indicando a porcentagem de funcionários ou contratados que concluíram treinamentos obrigatórios ou voluntários de cibersegurança.

Testes de Intrusão

Use esta seção para resumir os problemas identificados ainda pendentes, classificados por gravidade, bem como o tempo médio para remediar questões de alto risco.

  • PProblemas Identificados Pendentes por Gravidade Este gráfico exibe a intensidade dos problemas pendentes identificados durante auditorias ou verificações de conformidade. A gravidade é medida como crítica, alta, média ou baixa. Isso ajuda a entender a proporção dos problemas de acordo com sua gravidade.

  • Tempo Médio para Remediar Problemas de Alto Risco Esta métrica acompanha o tempo médio necessário para remediar problemas de alto risco identificados durante auditorias e fornece insights sobre a eficiência da resposta da sua organização a vulnerabilidades críticas.

Esta aba demonstra a robustez do plano de resposta a incidentes da sua organização. Ela é apoiada por dados quantitativos e enfatiza a detecção, o diagnóstico, a remediação e a prevenção de incidentes.

Recursos visuais disponíveis

Disponibilizamos os seguintes recursos visuais nesta seção:

Gestão de Incidentes

Use esta seção para identificar, destacar e explicar períodos com aumentos ou reduções significativas e atípicas nos incidentes de cibersegurança da sua organização. Você pode incluir comentários e dados capturados do sistema de gestão de incidentes da sua organização.

Tendência Trimestral de IncidentesObtenha uma métrica de alto nível sobre a geração de alertas ou o número de incidentes registrados em um período específico, como mensal, trimestral ou semestral. Os riscos neste gráfico são categorizados com base no nível de gravidade, em uma escala de crítico, alto, médio e baixo.

Identificação de Incidentes

Use esta seção para preparar uma métrica de alto nível sobre a geração de alertas ou o número de incidentes registrados em um período específico, como mensal, trimestral ou semestral.

Tendência Trimestral de IncidentesEste gráfico categoriza os incidentes com base nas fontes de onde foram coletados. As informações apresentadas neste gráfico têm origem nas seguintes fontes:

  • Auditoria refere-se a incidentes identificados durante auditorias de segurança.

  • Monitoramento Contínuo refere-se a incidentes identificados por meio de sistemas automatizados que monitoram continuamente a rede e os sistemas da sua organização em busca de anomalias ou violações de segurança.

  • Relatados por Clientes são incidentes que foram reportados por clientes. Isso pode incluir feedback ou reclamações de clientes que tenham vivenciado problemas que possam indicar um incidente de segurança.

  • Relatados por Funcionários são incidentes reportados pelos próprios funcionários. Os funcionários podem perceber atividades suspeitas ou possíveis violações de segurança e reportá-las à equipe de TI ou de segurança.

Divulgação de Incidentes

Use esta seção para reportar e analisar incidentes de cibersegurança que são considerados relevantes (materiais) com base em fatores quantitativos e qualitativos.

Divulgação 8-K refere-se a um relatório exigido pela U.S. Securities and Exchange Commission (SEC). Todas as empresas de capital aberto devem apresentar esse relatório para divulgar eventos relevantes que possam afetar acionistas ou investidores. O objetivo da Divulgação 8-K é garantir transparência e a comunicação tempestiva de eventos corporativos significativos, incluindo incidentes de cibersegurança considerados materiais.

  • Última Atualização mostra a data mais recente em que o relatório de divulgação de uma empresa foi atualizado.

  • Data de Divulgação mostra a data em que o relatório de divulgação de uma empresa foi protocolado.

  • Empresa exibe o nome da empresa que apresentou o relatório de divulgação.

Esta aba se concentra no processo proativo de identificar, avaliar, mitigar e monitorar vulnerabilidades nos sistemas, redes e softwares da sua organização.

Recursos visuais disponíveis

Disponibilizamos os seguintes recursos visuais nesta seção:

Gestão de Vulnerabilidades

Apresente as vulnerabilidades atuais da sua organização, destacando os ativos de alto risco e as vulnerabilidades críticas que exigem atenção imediata.

Vulnerabilidades em ProduçãoUse o gráfico para obter insights a partir de dados históricos que mostram a proporção de vulnerabilidades em aberto versus vulnerabilidades remediadas, permitindo avaliar a alocação de recursos voltados à remediação. A linha vermelha representa as vulnerabilidades em aberto, e a linha cinza representa as vulnerabilidades remediadas.

Capacidade de Resposta a Vulnerabilidades

Avalie com que rapidez e eficácia sua organização responde às vulnerabilidades identificadas.

Vulnerabilidades Abertas em ProduçãoEste gráfico fornece uma visão do nível de capacidade de resposta da sua organização ao reagir aos resultados das vulnerabilidades reportadas. O gráfico inclui métricas como o tempo médio para ação e/ou o tempo médio para remediação, ambos medidos em relação a um SLA definido na sua Política de Gestão de Vulnerabilidades, para demonstrar o nível de resposta.

SLA de Remediação

Forneça atualizações sobre os SLAs, que são acordos formalizados que definem os prazos esperados e as responsabilidades para tratar e resolver vulnerabilidades identificadas.

Conformidade com SLA para Vulnerabilidades de Infraestrutura Altas e CríticasEste gráfico ilustra a proporção de vulnerabilidades remediadas dentro do prazo exigido, com base na gravidade do risco.

Use esta seção para se concentrar na avaliação e no gerenciamento dos riscos apresentados por seus fornecedores e sistemas de informação de terceiros. Esta seção avalia o progresso da sua organização na identificação desses riscos e as medidas adotadas para gerenciá-los.

Recursos visuais disponíveis

Disponibilizamos os seguintes recursos visuais nesta seção:

Classificação de Terceiros e Fornecedores

Classifique os fornecedores com base na criticidade dos serviços que prestam, como risco crítico, alto, médio ou baixo. Essa classificação ajuda a priorizar esforços no gerenciamento de relacionamentos mais arriscados.

Fornecedores por ClassificaçãoUse esta representação visual para categorizar os fornecedores com base no nível de risco que representam para a sua organização. Este gráfico classifica os fornecedores em categorias como risco crítico, alto, médio e baixo.

Avaliações de Risco de Terceiros e Fornecedores

Identifique os riscos associados a fornecedores terceirizados incluindo métricas como o número e a porcentagem de fornecedores dentro dos SLAs de avaliação de risco.

Fornecedores dentro do SLA de Avaliação de RiscoUse este gráfico para identificar se as avaliações de risco de fornecedores terceirizados estão sendo realizadas dentro dos prazos definidos no Acordo de Nível de Serviço (SLA). O SLA determina a frequência e os prazos para a realização das avaliações de risco, especialmente para fornecedores identificados como de risco alto ou crítico.