Algumas táticas de segurança, é claro – definir níveis aceitáveis de risco, usar seguro de responsabilidade para transferir parte desse risco e mitigar danos quando isso acontecer – continuam sendo importantes para reduzir o impacto dos ataques. No entanto, os líderes empresariais precisam repensar sua estratégia organizacional. A segurança corporativa é importante demais para ser responsabilidade exclusiva de um punhado de especialistas, como tem sido há anos. Ela precisa ser incorporada ao trabalho de todos na empresa.
Aqui estão quatro estratégias que os CISOs devem considerar para ajudar a colocar o gerenciamento de riscos cibernéticos em um caminho melhor.
1 - É hora de normalizar o risco de segurança cibernética
Primeiro, as organizações devem mudar a forma como pensam sobre os riscos cibernéticos. Os ataques cibernéticos têm sido tradicionalmente vistos como uma ameaça única e exógena, separada de outros aspectos do gerenciamento de riscos corporativos. Isso precisa mudar.
O risco cibernético é o risco do negócio. Ele precisa ser incorporado à estrutura de gerenciamento de risco de todas as empresas e gerenciado com algumas das mesmas metodologias usadas na modelagem de risco financeiro e operacional. Se os CFOs e COOs podem dormir decentemente à noite, seus colegas de segurança também devem dormir no C-suite.
De muitas maneiras, a segurança cibernética não é um problema de tecnologia, é organizacional. Os processos de segurança devem ser tão fundamentais para a empresa quanto aqueles para integrar funcionários ou projetar ótimas experiências para o cliente. Eles precisam receber a mesma consideração que todas as outras funções de negócios necessárias, juntamente com financiamento e número de funcionários proporcionais.
A segurança também precisa ser mais proativa e menos reativa. Assim como uma empresa não esperaria para contratar a equipe de vendas até depois do lançamento de um produto, ela não deve esperar por um grande incidente antes de financiar uma equipe de segurança cibernética e implementar os processos certos.
É certo que as organizações continuarão a sofrer violações graves; a questão mais importante é se eles tomaram medidas razoáveis para evitá-los e com que eficácia eles respondem.
2 - Concentre-se em pessoas, processos e tecnologia – nessa ordem
Em seguida, os CISOs precisam reconsiderar onde estão concentrando seus recursos. Seus orçamentos devem seguir um conjunto claramente definido de prioridades, e a tecnologia não deve – na maioria dos casos – estar no topo. A primeira prioridade são as pessoas, e isso significa investir no treinamento de seus funcionários em conscientização de segurança adequada, no ensino e requalificação de suas equipes e no fortalecimento de uma cultura de segurança.
A próxima prioridade de gastos deve ser os processos internos. Quão minuciosamente, por exemplo, a organização ensaiou o que fará no caso de um ataque de ransomware? Comunicações internas e externas, planejamento de continuidade operacional e como (ou se) se envolver com os invasores são mais bem planejados antes da crise.
Terceiro, somente depois que as questões mais urgentes relacionadas a pessoas e processos forem abordadas, os CISOs devem investir em ferramentas de tecnologia para ajudar a reduzir e gerenciar ameaças.
3 - Fator humano
Quase 9 em cada 10 violações de dados são resultado de erro humano, de acordo com um estudo recente de pesquisadores da Universidade de Stanford. E apesar dos mais de US$ 1 bilhão que as empresas gastam anualmente em treinamento de conscientização de segurança, é improvável que isso mude. As empresas precisam encontrar novas maneiras de recompensar as boas práticas de segurança.
Envergonhar os funcionários por deslizes de segurança, por exemplo, não os torna mais vigilantes. Na maioria das vezes, isso apenas os assusta e os deixa em silêncio e os torna menos propensos a falar. Ou eles podem tentar resolver o problema por conta própria e, sem saber, torná-lo pior. Se eles trabalham em um setor altamente regulamentado, isso pode levar a sanções.
Em vez disso, as organizações precisam promover uma cultura de abertura em torno da segurança, incentivando os funcionários a fazer perguntas e levantar bandeiras vermelhas. Algumas empresas enviam ataques de phishing simulados e recompensam os funcionários que os identificam com sucesso com cartões-presente e outras vantagens. Outros oferecem reconhecimento público para funcionários que passam no treinamento de segurança exigido. Quase qualquer forma de reconhecimento positivo é um passo na direção certa.
4 - Torne as ferramentas de segurança mais fáceis de usar
Grande parte dos bilhões de dólares que as empresas gastam em tecnologia de segurança vão para prateleiras que nunca são usadas. Em muitos casos, essas são ferramentas complicadas que exigem especialistas que entendam como usá-las, e essas pessoas são escassas. Com uma escassez de mão de obra de segurança que não vai desaparecer tão cedo, de acordo com a Information Systems Security Association (ISSA) e a empresa de análise do setor Enterprise Strategy Group (ESG), a tecnologia de segurança deve se tornar mais fácil de usar.
Ferramentas mais simples não apenas permitiriam que os CISOs contratassem mais pessoas para lidar com funções essenciais de segurança, mas também abririam a força de trabalho para uma gama mais diversificada de indivíduos com diferentes origens e conhecimentos técnicos. Os engenheiros também precisam gastar mais tempo fornecendo painéis fáceis de entender que permitem que executivos seniores e outras pessoas menos técnicas entendam o estado atual do risco.
Uma das razões pelas quais a empresa Elastic, oferece uma Stack de tecnologia gratuita e aberta é incentivar e habilitar uma comunidade vibrante de colaboradores. Também acreditamos que abrir produtos para um público mais amplo de desenvolvedores os torna mais seguros.
A segurança corporativa não pode continuar sendo uma função isolada, gerenciada por uma equipe de especialistas. Deve fazer parte das responsabilidades de todos. Fazer isso pode ajudar as empresas a ir além de simplesmente reagir a crises e entrar em um novo paradigma em que gerenciam a segurança cibernética com eficiência, como qualquer outro risco.
Principais conclusões:
- Os riscos cibernéticos não são ameaças exóticas; eles são apenas outra forma de risco de negócios
- Os CISOs devem focar os orçamentos primeiro em pessoas e processos e depois em tecnologia
- Promover uma cultura de abertura em torno da segurança ajuda as organizações a aceitar e gerenciar melhor os riscos
Compilação do Elastic Blog.
Nenhum comentário:
Postar um comentário