20 perguntas para avaliar os riscos de segurança cibernética

20 perguntas para avaliar os riscos de segurança cibernética dentro de uma organização.

A realização de avaliações internas de risco de cibersegurança é crucial para que todas as empresas protejam a sua infraestrutura digital contra potenciais ameaças. Para garantir a proteção mais abrangente, é importante começar fazendo as perguntas certas. Ao abordar questões críticas antecipadamente, as empresas podem avaliar eficazmente potenciais vulnerabilidades e ameaças nos sistemas internos da empresa para promover um ambiente digital mais resiliente e seguro.

Abaixo, os membros do Conselho de Tecnologia da Forbes discutem algumas questões importantes que os líderes empresariais devem considerar e fatores a explorar ao conduzir avaliações internas de risco de segurança cibernética. Compreender estes elementos – desde as vulnerabilidades nos sistemas até à eficácia dos atuais protocolos de deteção e mitigação de ameaças – pode ajudar uma organização a reforçar significativamente as suas defesas de segurança cibernética e a manter a integridade da sua infraestrutura e sistemas digitais.

1. Onde a organização pode assumir riscos?

É muito difícil proteger todos os ativos de uma empresa. Portanto, as empresas devem avaliar e articular as suas “jóias da coroa” e as funções críticas necessárias para sustentar as operações empresariais, e depois dedicar recursos para garantir e proteger os sistemas mais importantes. – Robert Bair , equipe Cymru

2. Onde estão os maiores riscos em toda a empresa?

A pergunta mais crítica a ser respondida em qualquer avaliação de riscos cibernéticos – internos ou externos – é: “Onde estão os maiores riscos em toda a empresa e como posso gerenciá-los e mitigá-los?” Isto significa ter uma visão clara e única dos riscos em todas as divisões de negócios e regiões geográficas, juntamente com uma compreensão quantificada de quanto os riscos de exposição representam em termos monetários. As plataformas de governação, risco e conformidade e a inteligência artificial podem ajudar. – Gaurav Kapoor , MetricStream

3. Qual é a operação ‘MVB’ após uma falha ou violação?

O que constitui uma operação de “negócio mínimo viável” para minha organização diante de uma falha ou recuperação de violação pode ser resumido nesta pergunta: “Posso identificar esses ativos (dados e pessoas) e garantir (através de testes e validação) seu retorno? às operações de negócios no prazo mais rápido possível?” O risco de não ser resiliente face a um incidente de segurança cibernética é um dos fatores de planeamento mais críticos. -Richard Cassidy , Rubrik

4. Quem precisa estar envolvido na avaliação de riscos?

Muitas organizações cometem o erro de rotular a segurança cibernética como uma questão de TI, mas a avaliação adequada do risco também envolve a gestão de riscos, a continuidade dos negócios, o C-suite e muito mais. Considere os controles em vigor, atribua responsabilidades e treine todos para identificar problemas. E certifique-se de ser realista quanto ao tempo de recuperação. – Jim Wetekamp , ​​Riskonnect

5. Quais são os ativos mais críticos do negócio?

A questão de quais ativos são mais importantes é crítica, pois permitirá à empresa priorizar iniciativas de segurança e alocar recursos para proteger os seus ativos mais críticos. O resultado de uma análise de impacto abrangente irá traçar uma imagem clara de onde a empresa deve concentrar os seus esforços. – Shane Henszey , Cortrucent LLC

6. Todas as melhores práticas do setor estão sendo aproveitadas?

Você audita sua organização de forma consistente para garantir que está aproveitando todas as práticas recomendadas do setor? Embora ninguém possa garantir 100% de segurança, se foram realizadas auditorias de rotina para garantir que todas as melhores práticas atuais específicas do setor estavam em vigor pode ter sido a pergunta de um bilhão de dólares que não foi feita antes do último ataque ao sistema de saúde. – Virgílio Bretz , MacroSaúde

7. Qual metodologia de risco está sendo utilizada?

O tipo de metodologia de risco é crucial porque o processo de avaliação de risco deve ser consistente, repetível e reprodutível. Isto é mais importante na criação de pontuações de risco mensuráveis ​​que permitem a uma organização conceber um sistema de resposta a riscos adequado, completo com processos e procedimentos para resolver qualquer incidente. – Dr. Obadare Peter Adewale , Digital Encode Limited

8. Quem tem acesso aos dados durante a implementação da IA?

Neste momento, muitas empresas estão a realizar avaliações de risco relacionadas com a adoção da IA, e por uma boa razão: um novo estudo descobriu que 45% das organizações sofreram exposições de dados durante a implementação da IA. Ao se preparar para adotar a IA, você precisa monitorar e controlar de perto quem tem acesso aos seus dados. Sem proteção extra, os dados da sua empresa ficam extremamente vulneráveis ​​durante essas transições. – Dr. TJ Jiang

9. Como esta informação deve ser aproveitada?

Supõe-se que uma avaliação de riscos impulsione a ação, por isso é necessário ser capaz de explicar às partes interessadas como utilizar as informações que ela fornece. Os líderes estão ocupados e as equipes já têm muito o que fazer. Se você não for prescritivo sobre como as informações de uma avaliação interna de risco de segurança cibernética devem ser aproveitadas, você corre o risco de que elas se tornem “shelfware”. – Oritse Uku , Mútua do Noroeste

10. Quais são todas as possíveis ameaças ao sistema?

Uma vulnerabilidade sem ameaça pode não justificar ação. As avaliações de risco começam com uma análise de ameaças, e as vulnerabilidades que não têm uma ameaça associada podem representar uma prioridade menor para a tomada de medidas, o que requer orçamento e recursos. -Will Sweeney , Zaviant

11. Como iremos recuperar quando a rede estiver comprometida?

Como você se recuperará quando – e não se – sua rede, sistemas e dados estiverem comprometidos? Embora seja importante implementar controlos preventivos para reduzir o risco de concretização de ameaças, o facto é que mesmo a segurança cibernética mais completa acabará por falhar. A forma como uma organização responde e se recupera determinará como o negócio e seus clientes serão afetados. – John Linkous , segurança da Phalanx

12. Qual é o impacto do risco nos utilizadores finais?

O passo mais crítico é compreender o impacto do risco no negócio e nos seus utilizadores finais. Isso permite que a empresa adote uma abordagem mais direcionada e se concentre na mitigação dos riscos mais significativos. Também facilita o planejamento, a priorização e o gerenciamento de recursos eficazes. -Swetha Singiri , Meta

13. Um hacker poderia explorar um vetor humano?

Investimos prontamente na segurança dos nossos sistemas e na adição de múltiplas camadas de segurança, mas os hackers exploram as nossas fraquezas. Muitas vezes, o ponto fraco é o conhecimento que os funcionários possuem e a forma como protegem esse conhecimento. -Bobbi Alexandrova , Loopio

14. Quais são as possíveis consequências de uma violação?

Quais são as consequências potenciais de uma violação de segurança cibernética para a nossa organização?” Esta questão é crucial porque leva as empresas a avaliar o impacto potencial de uma violação nas suas operações, finanças, reputação e obrigações de conformidade. Compreender as consequências permite que as organizações priorizem os esforços de segurança cibernética de forma eficaz. -Michelle Drolet , Towerwall, Inc.

15. Existe visibilidade completa de todo o tráfego da rede?

As empresas devem perguntar-se: “Temos visibilidade completa de todo o tráfego de rede e potenciais pontos cegos?” Sem essa resposta, as empresas ficam expostas a riscos substanciais. Na verdade, 93% do malware se esconde atrás do tráfego criptografado, permitindo que os cibercriminosos atravessem lateralmente a rede de uma organização, muitas vezes passando despercebidos por semanas ou meses antes do ataque. -Chaim Mazal , Gigamon

16. Como são protegidos os bens mais valiosos?

Uma questão crítica para as avaliações de risco de cibersegurança é: “Quais são os nossos ativos mais valiosos e como são protegidos?” Esta é uma questão vital para priorizar recursos e gerir orçamentos limitados. Por exemplo, um banco avaliaria as proteções em torno de dados cruciais dos clientes para identificar pontos fracos, garantindo que os ativos mais sensíveis recebem as defesas mais fortes e mais económicas. – Tushar Vartak , RAKBank

17. Com que frequência serão realizadas avaliações?

A avaliação não é uma atividade única e as empresas devem decidir a frequência dos intervalos, de acordo com as suas necessidades. O processo de avaliação não consiste no preenchimento de um questionário; trata-se de compreender quais são os riscos, quem (equipes versus indivíduos) é o proprietário deles e como a organização está preparada para superar prováveis ​​ocorrências. Evite depender do brilhantismo de qualquer indivíduo e leve a sério a confiança zero. – Karthick VG , DigitusVerto

18. Como os funcionários estão sendo informados sobre as ameaças?

O que estamos fazendo para educar os funcionários sobre as ameaças à segurança cibernética?” Erros humanos são responsáveis ​​por cerca de 90% das violações. As empresas devem garantir que oferecem formação de sensibilização envolvente e impactante e avaliar a sua eficácia. A preparação para a cibersegurança não é uma solução única para todos. Uma educação eficaz requer conteúdo direcionado e divulgação realizada em intervalos regulares. – Suresh Kannan , Modelo N

19. Com que eficácia a infraestrutura atual protege contra ameaças em evolução?

Auditorias manuais e treinamento interno têm seu lugar, mas muitas vezes ficam aquém em cenários cibernéticos dinâmicos. A parceria com um fornecedor confiável que oferece uma plataforma robusta e pacotes meticulosamente avaliados é crucial para fortalecer proativamente as defesas e protegê-las contra vulnerabilidades emergentes. -Rob Futrick , Anaconda

20. As ferramentas de segurança fornecidas aos funcionários são convenientes e fáceis de usar?

A cibersegurança é muitas vezes tratada como uma questão técnica a ser resolvida através de meios técnicos, mas não devemos esquecer que os seres humanos são o elemento central do negócio. A experiência do usuário deve ser uma consideração fundamental. As ferramentas de segurança fornecidas aos funcionários são convenientes e fáceis de usar? Caso contrário, estará essencialmente provocando problemas ao encorajar os funcionários a contornar as ferramentas de segurança. -Song Bac Toh , Dell Technologies

Fonte: Forbes

Veja também:

Sobre mindsecblog 2549 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. O que é Zero Trust? 
  2. ANPD determina suspensão do tratamento de dados da Meta

Deixe sua opinião!