Um novo vetor de risco: a empresa das coisas

Views: 329
0 0
Read Time:5 Minute, 12 Second

Bilhões de dispositivos , incluindo câmeras de segurança, smart TVs e equipamentos de fabricação – são em grande parte não gerenciados e aumentam o risco de uma organização.

Quando a TNT Express, subsidiária da FedEx, foi atingida por ransomware em 2017, suas unidades de entrega foram prejudicadas e grande parte de suas operações de transporte parou. Além de atrasar os serviços aos clientes, o ataque custou à FedEx aproximadamente US$ 300 milhões, de acordo com os registros públicos.

É uma história que infelizmente está se tornando mais comum hoje. O Ransomware está devastando empresas em todo o mundo, paralisando as fábricas, impedindo que os hospitais tratem pacientes e até mesmo impedindo os alunos de estudar em uma pandemia durante essa pandemia. Enquanto isso, os invasores continuam a roubar dados e credenciais de empresas de todos os tamanhos em cada setor e aproveitá-los para obter lucro.

Como os danos por crimes cibernéticos devem atingir US$ 6 trilhões até 2021,um número crescente de leis e regulamentos de notificação de violação, como o Regulamento Geral de Proteção de Dados da UE, estão trazendo transparência ao impacto financeiro direto de um ataque cibernético. Os diretores corporativos estão cada vez mais pressionando os líderes da empresa para uma melhor compreensão do risco cibernético, bem como uma estratégia e plano de mitigação. O potencial impacto repentino e material dos ataques cibernéticos levou a segurança cibernética ao topo do registro de risco para muitas empresas. A maioria dos conselhos e equipes executivas não tem familiaridade com esses riscos, por isso a educação em segurança cibernética em nível de diretoria é tipicamente o primeiro passo, levando rapidamente a perguntas sobre como a empresa pode comprar riscos cibernéticos.

À medida que os diretores fazem essas perguntas, muitos conselhos estão descobrindo que a organização tem investido em controles como antivírus e firewalls há anos. No entanto, essas ferramentas não abordam um dos maiores pontos cegos de cibersegurança da atualidade: a Enterprise of Things. Bilhões de dispositivos, incluindo câmeras de segurança, smart TVs e equipamentos de fabricação, estão se conectando a empresas. Quando você olha para o tecido de gerenciamento de riscos de qualquer empresa de significância, o risco representado por esses dispositivos e sistemas não gerenciados residentes é alto.

Em muitos casos, essa proliferação dos dispositivos Enterprise of Things impulsiona a produtividade e a inovação para a frente, fatores que são muito importantes para um conselho de administração em sua obrigação de impulsionar o valor dos acionistas e reduzir seu perfil de risco. No entanto, um único dispositivo mal protegido conectado à rede corporativa pode ser o elo fraco que nega esses benefícios, ao invés de causar danos financeiros e reputacionais significativos. Esse elo fraco pode ser um único laptop, um sensor monitorando uma usina nuclear, uma impressora, um dispositivo médico, ou, no caso de um cassino de Las Vegas, um termômetro de aquário.

Os conselhos precisam entender a exposição ao risco cibernético da empresa, quantificar o impacto potencial se atingido por um ataque cibernético e tomar medidas para garantir que cada dólar gasto em cibersegurança compre diretamente esse risco corporativo. Para isso, eles precisam construir uma defesa dentro de suas paredes de castelos cibernéticos, com uma compreensão em tempo real, contínua e rica em contexto dos ativos gerenciados e não gerenciados. Se a rede era uma praia composta por um grande número de entidades conectadas que formavam os grãos de areia, a empresa precisa ter a capacidade de zerar em um único grão anômeo e depois analisá-lo em detalhes granulares.

Os conselhos devem garantir que a função de segurança tenha as habilidades, processos e tecnologias certas para implementar uma estratégia de defesa ativa que inclua identificar, segmentar e impor a conformidade de cada coisa conectada a partir do momento em que um dispositivo entra na rede e ao longo de seu ciclo de vida. A chave para uma defesa ativa é ter a capacidade de isolar e automatizar o controle e a ação em qualquer ativo, em qualquer lugar, a qualquer hora para mitigar riscos, conter o impacto de violação e operar sem medo — sem se preocupar em manter ativos críticos on-line.

O objetivo final deve ser a implementação de um processo de revisão formal do risco de cibersegurança e leitura para o comitê de governança, risco e conformidade (GRC) e comitê de auditoria. Cada uma dessas etapas deve ser tomada continuamente, em vez de ser vista como um exercício pontual. O cenário atual de cibersegurança, com novas tecnologias e embarcações comerciais adversárias em evolução, exige uma revisão contínua dos riscos por parte dos conselhos, bem como a constante reavaliação da alocação do orçamento de segurança contra áreas de risco crescentes. para garantir que cada dólar gasto em cibersegurança compre diretamente essas áreas de maior risco.

Estamos começando a ver algumas tendências positivas nesse sentido. Quase todos os grandes conselhos de administração de empresas públicas hoje tornaram o risco cibernético um elemento do comitê de auditoria, do comitê de risco ou do comitê de segurança e segurança. O CISO também está ganhando visibilidade no nível da diretoria, em muitos casos apresentando pelo menos uma vez, se não várias vezes por ano. Enquanto isso, os acionistas estão começando a fazer as perguntas difíceis durante as reuniões anuais sobre quais medidas de segurança cibernética estão sendo implementadas.

No cenário atual, cada uma dessas conversas sobre risco cibernético no nível do conselho deve incluir uma discussão sobre a Enterprise of Things dada a materialidade do risco. Novos dispositivos, sensores e outras entidades conectadas estão constantemente entrando na empresa. Os atacantes provaram sua eficácia no uso de dispositivos vulneráveis como um ponto de entrada na empresa mais ampla. Novas vulnerabilidades e configurações erradas são descobertas diariamente e, portanto, a segurança de dispositivos conectados não é um evento único, mas sim um ciclo de vida de inspeção e controle contínuo.

Quem está no conselho de administração tem a responsabilidade de garantir que eles tenham uma compreensão completa desses riscos de forma contínua e que a empresa tenha os controles adequados para enfrentar essa área crítica de risco. À medida que nossa dependência da Empresa das Coisas cresce, o risco associado também cresce. Temos que ser diligentes em executar uma defesa ativa para a Enterprise of Things.

FONTE: DARK READING

POSTS RELACIONADOS