Implementando um programa de transformação de segurança cibernética. A segurança cibernética é uma das principais prioridades para executivos e CIOs em 2021. Sara Ng, diretora de tecnologia e segurança da The 324 Consultancy, discute como eles podem entregar com eficácia seus programas de transformação de segurança cibernética.
O bloqueio da Covid-19 viu as organizações públicas e privadas se tornarem mais dependentes de sistemas operacionais digitais descentralizados do que nunca. Embora isso tenha trazido benefícios como melhor equilíbrio entre trabalho e vida pessoal dos funcionários e aumento da produtividade, também os deixou vulneráveis a ataques cibernéticos de uma forma nunca vista antes. Um estudo recente descobriu que 65% das organizações no Reino Unido foram violadas ou expostas a um ataque no ano passado. Apesar disso, no entanto, com muitas organizações observando o tamanho de seu orçamento em meio à turbulência econômica atual, algumas empresas continuam lentas para investir pesadamente no aumento de seus recursos de segurança cibernética.
Um relatório recente do Atlas VPN afirmou que mais de US $ 1 trilhão – ou aproximadamente 1% do PIB mundial – foi gasto em segurança cibernética ou perdidos como resultado de um ataque cibernético ao longo de 2020. Ilustrando a importância do investimento em cibersegurança A segurança é que apenas US $ 145 bilhões desse enorme valor foram gastos na implementação de proteções, com os US $ 945 bilhões restantes sendo perdidos na sequência de violações de segurança cibernética.
De acordo com Sara Ng, especialista em segurança cibernética da The 324 Consultancy , as empresas precisarão começar a desenvolver seus esforços de segurança cibernética o quanto antes, se quiserem evitar ataques semelhantes no futuro. Falando para Consultancy.org, Ng explicou que muitas empresas agora esperam que sua equipe de segurança cibernética melhore as coisas em apenas 24 meses – uma perspectiva assustadora, mas que é viável desde que tenham sucesso nas quatro fases principais de desenvolvimento.
“Quem trabalha no setor de segurança sabe que a implementação de programas de transformação leva tempo”, explicou o diretor de tecnologia e segurança da consultoria. “Mas ainda há mudanças reais que você pode fazer em um período de 12 a 24 meses.”
O cenário cibernético de hoje tornou-se um problema de “quando” e não “se” uma violação cibernética afetará sua organização. Neste ambiente, manter uma organização de sucesso exige capacidade e maturidade de resposta à incidentes cibernéticos (IR – Incident Response), o que leva a empresa a um forte nível de defesa organizacional e mitigação de danos violações. Compreensão e patrocínio do C-suite é fundamental para avançar esses objetivos.
Segundo ao Consultancy de UK, a 324 relacionou as 4 fases abaixo como principal estratégia para um plano rápido de melhorias.
Fase 1: Planejamento e atividades ‘sem arrependimentos’
“Assim que você tiver um entendimento sólido de seu estado atual, escreva uma estratégia e um plano de segurança cibernética”, aconselhou Ng. “Isso deve articular sua posição alvo recomendada e como chegar lá. A estratégia precisa ser liderada pelos negócios e é importante comunicar as lacunas de segurança aos executivos em termos de impactos em seus negócios ”.
Essa estratégia provavelmente precisará de alguns rascunhos antes de atingir o equilíbrio certo entre aspiração e capacidade de entrega – no entanto, a chave é sempre buscar definir critérios de sucesso que sejam ambiciosos e alcançáveis. Tentar consertar muito e muito rapidamente pode ser um erro fatal, com qualquer falha significando que os planos atualizados também parecerão uma luta árdua para aqueles que os implementam. Da mesma forma, as empresas devem ser realistas sobre o orçamento disponível para seus projetos: a implementação da mudança cibernética envolve também pessoas e processos, portanto, certifique-se de que haja orçamento suficiente para documentação, comunicações, treinamento e aumento de custo operacional.
“Durante a fase de planejamento, você pode iniciar algumas atividades ‘sem arrependimento’ em paralelo”, continuou o especialista em cibernética. “Por exemplo, comece a corrigir os problemas de maior risco de quaisquer exercícios da equipe vermelha que você tenha conduzido (“ aja como se tivesse sido hackeado ”). Você também vai querer começar a recrutar para posições-chave em sua equipe. ”
Paralelamente, as organizações podem lançar um exercício de análise de cenário de ameaça. A análise de cenário é o processo de análise de eventos futuros possíveis, considerando resultados possíveis alternativos. A análise permitirá que os líderes entendam melhor os cenários que incorreriam na maior perda e / ou impacto negativo na experiência do cliente, permitindo uma melhor tomada de decisão considerando os resultados e suas implicações de forma mais completa.
Para este levantamento é recomendado uma análise estruturada, baseada na ISO27001 ou framework do NIST, avaliando o nível de maturidade dos controles implementados em cada domínio da segurança da informação. Seguido a esta avaliação é importante definir os cenários de risco e o apetite da empresa a estes riscos para que de posse destas informações seja possível definir o nível esperado e desejado de controle para a organização, traçando então o planejamento estratégico da área de segurança da informação.
Profissional capacitado, de preferência com certificações do tipo Auditor Leader ISO27001, e consultoria de empresas com experiência nesta avaliação e planejamento é fundamental para a qualidade da sua visão de risco e planejamento, mas isto tudo de nada adiantará se não houver apoio executivo e conscientização dos colaboradores quanto a importância e impactos deste plano para a organização.
Clique e veja com a MindSec como fazer sua avaliação de segurança e planejamento de SI
Fase 2: Mobilizar
Depois de usar o estágio de planejamento para garantir um orçamento e a adesão dos executivos, as empresas devem procurar construir bases sólidas a partir das quais começar a mobilizar o programa. Esta fase envolve atividades como a formação de comitês de direção e a definição de indicadores chave de desempenho (KPIs).
“Aqui também é onde você pode usar ‘aceleradores’ para dar um pontapé inicial no seu programa”, acrescentou Ng. “Por exemplo, algumas atividades de configuração de governança podem ser aceleradas se você tiver acesso aos termos de referência e modelos de regulamento. Não reinvente a roda.”
O início deste processo deve ser obtido com a formação de um Comitê de Segurança da Informação com participação multidisciplinar, a fim de que todas as áreas possam contribuir guiando as ações de segurança para que contribuam para fortalecer a organização ao mesmo passo que nao burocratize ou dificulte as operações de negócio, ou seja, o principal objetivo, além de obter a participação e conscientizar à todos, é obter o equilíbrio entre os controles e os objetivos de negócio.
Segundo o CSO Online, 42% dos quase 500 líderes pesquisados pela Associação Nacional de Diretores Corporativos listaram os riscos de segurança cibernética como uma das cinco preocupações mais urgentes que estão enfrentando – logo atrás de mudanças no clima regulatório e de uma desaceleração econômica.
Como resultado, os executivos de segurança estão indo cada vez mais diante dos conselhos para informá-los sobre os riscos que enfrentam e as estratégias para mitigá-los.
“Mais boards estão dizendo: ‘Fale conosco, conte-nos o que precisamos saber’”, diz Gary Hayslip, CISO da empresa de segurança na Internet Webroot e membro veterano do conselho.
No entanto, muitos membros do conselho acham que não estão recebendo as informações de que precisam de seus diretores de segurança de informações.
“Os membros da diretoria estão falando sobre risco cibernético, e os comitês de risco e auditoria estão gastando muito tempo analisando os CISOs e, em geral, estão insatisfeitos com a experiência“, diz David Chinn, sócio sênior da McKinsey & Co.
“Diga a eles onde você está e onde precisa estar. E toda vez que você entra, você compartilha informações sobre novos riscos e novas oportunidades para melhorar, com base nas informações apresentadas na [apresentação] anterior ”, diz ele. “Diga a eles, aqui é onde estamos, aqui é onde estamos imaturos e onde estão os riscos, e a partir de um perfil de ameaça, isso é o que devemos priorizar e por que … e onde estamos contra os concorrentes“.
Fase 3: Executar
Seguindo esta etapa, medir os sucessos ao longo do caminho por meio dos KPIs manterá os patrocinadores do projeto engajados durante a execução do plano. Por exemplo, Ng sugeriu que um projeto de conscientização de phishing poderia medir o sucesso “pela redução no número de usuários que caíram em e-mails de phishing de teste durante um período de tempo”, enquanto uma implementação de gerenciamento de informações e eventos de segurança poderia medir o sucesso pelo número de táticas , Técnicas e Procedimentos (TTPs) que a organização é capaz de detectar. A execução de um plano de comunicação para aumentar a conscientização sobre o programa em toda a empresa também ajudará a impulsionar esses sucessos.
“É aqui que a diversão começa … Você estará no meio de seleções de produtos e serviços, design de soluções, testes e implementação”, disse Ng. No entanto, as equipes cibernéticas também devem ter cuidado para se manterem adaptáveis à situação. “Seu programa provavelmente passará por mudanças de escopo ao longo do caminho. Por exemplo, a organização pode descobrir novas ameaças ou descobrir mais problemas. Por isso, você deve garantir que seu programa tenha um processo de solicitação de mudança que avalie o impacto nos projetos existentes. ”
A implementação do plano de segurança deve ser guiado pelo planejamento da iniciativas considerando uma avaliação de risco que seja balanceada nos impactos para cada dimensão de negócio. Na imagem abaixo demonstramos como pode ser avaliados os riscos e priorizados as ações relativas a cada domínio de SI.
Outro ponto importante é que no momento de planejar e priorizar as iniciativas, ainda não é a hora de definir as soluções a serem adotadas ou controles técnicos a serem implementados. Muitos profissionais se perdem exatamente neste momento, pois querem definir as soluções e saírem implementando os controles. Caso isto ocorra o planejamento sofrerá uma pressão inadequada e o tempo gasto não atenderá as necessidades, gerando soluções apressadas e mal avaliadas.
Sugerimos então, que se crie uma lista de iniciativas, agnósticas de soluções, mas que direcionem o objetivo de controle a ser implementado. Cada iniciativa irá no tempo de implementação gerar um projeto específico onde serão avaliados as opções de controle e soluções técnicas, as quais poderão ser levadas ao Comitê para decisão de investimento e implementação.
Isto feito, é hora de arregaçar as mangas, abrir os projetos, escolher as soluções e implementá-las !
Fase 4: Transição
Por fim, a maioria dos projetos de tecnologia instala bem as ferramentas, mas tudo pode desmoronar após ser entregue às equipes de produção. As questões culturais tendem a ser onde muitas transformações vacilam, já que os funcionários ou não estão envolvidos com as mudanças que estão sendo feitas, ou não são adequadamente apoiados para atualizar seu conjunto de habilidades em correspondência com as alterações.
Ng afirmou para este fim, “As equipes de produção devem receber treinamento adequado, documentação como parte do projeto. O processo de transição de serviço da organização também deve garantir que haja recursos suficientes para oferecer suporte a um novo serviço.”
Muitas empresas investem milhões em soluções de segurança mas não conseguem obter todos os benefícios esperados por que instalam e esperam, como em um passe de mágica, que a solução resolva todos os seus problemas. Mas não é bem assim !
Após a implementação é necessário uma boa administração e continuidade do processo evolutivo. Algumas soluções onde isto é mais evidente são: DLP, SIEM, IDM e PAM. em todas estas soluções a implementaçao da ferramenta em nada resolve se não houver um bom planejamento e continuidade operacional para tirar delas o melhor resultado operacional.
Desta forma, conscientize o Comitê de Segurança que é importante reforçar, ou mesmo alterar, os processos de produção e monitoração pós-implantação, para que os milhões investidos não se transforme em um gigantesco estádios de futebol no meio da mata Amazônica, que ninguém consegue usar!
Uma vez que a transformação está ganhando impulso, esses quatro estágios terão ajudado a fornecer uma visão de alto nível da organização como um todo. Neste ponto, as entidades podem começar a mergulhar na criação de “planos de projeto de alto nível”, o que pode ajudar a fornecer uma visão dos prazos para as partes interessadas.
“Você também precisará fornecer previsões de orçamento, incluindo CAPEX e OPEX”, acrescentou Ng. Para obter o máximo dessas etapas complexas, ela concluiu que o envolvimento com especialistas (externos) pode ser uma forma de garantir os melhores resultados.
Fonte: Consultancy Uk
Clique e saiba mais das soluções Sophos com a equipe de vendas da MindSec
Veja também:
- Quais habilidades são necessárias para trabalhar em Segurança Cibernética?
- Vulnerabilidade do kernel do Linux permite que invasores locais escalem privilégios
- Ataque de phishing usa reCAPTCHA falso do Google
- Ferramenta de mitigação one-click para vulnerabilidade do Exchange Server
- Crime cibernético custará ao mundo US$ 10,5 trilhões anualmente até 2025
- Modelo Governança de 3 linhas de defesas do IIA
- Apple corrige CVE-2021-1844 que afeta iOS, macOS, watchOS e Safari
- NSA lança orientação sobre arquitetura Zero-Trust
- Proposta de novo adiamento da LGPD é inconstitucional
- Incêndio em Data Center OVH na França destrói milhares de sites
- CEOs serão responsabilizados pelos incidentes de segurança
- Quatro práticas para prevenir o ransomware
Deixe sua opinião!