Como medir maturidade em segurança da informação
Diretoria quer número, RH quer evolução de comportamento, TI quer evidência técnica. Quatro indicadores resolvem os três públicos sem virar dashboard de 50 métricas que ninguém olha.
1. Taxa de clique em phishing simulado (CTR)
Quantos colaboradores clicaram no link da campanha. É a métrica mais direta de comportamento de risco. Acompanhe a curva — o número absoluto importa menos que a tendência ao longo de 3 a 6 meses.
2. Taxa de reporte
Quantos denunciaram o e-mail suspeito antes (ou depois) de clicar. É o melhor indicador de cultura: gente que reporta confia no programa e sabe o que fazer. Quando a taxa de reporte sobe, a defesa coletiva sobe junto.
3. Cobertura de MFA e gerenciador de senhas
Percentual de usuários com MFA ativo em e-mail e ferramentas críticas, e percentual usando o gerenciador corporativo. São os controles que mais reduzem incidente real por real investido.
4. Tempo médio de resposta a incidentes (MTTR)
Do alerta à contenção. Indicador operacional, mas que cria vocabulário comum com a diretoria. Quanto menor, mais maduro o time — e mais barato cada incidente.
Como apresentar para a diretoria
- Uma página por trimestre, gráfico simples de tendência.
- Sempre compare com o trimestre anterior, não com metas absolutas.
- Inclua uma 'história' por trimestre: um quase-incidente evitado, por exemplo.
- Termine com a próxima aposta — onde o investimento do trimestre vai.
Quer aplicar isso na sua empresa?
A Sereno Cyber ajuda PMEs a implementar programas de segurança humana com cenários brasileiros, métricas claras e adesão real do time.