Implementando um programa de transformação de segurança cibernética

Views: 390
0 0
Read Time:5 Minute, 51 Second

A segurança cibernética é uma das principais prioridades para executivos e Diretores de Informações em 2021. Sara Ng, Diretora de Tecnologia e Segurança da The 324 Consultancy, discute como eles podem efetivamente entregar seus programas de transformação de segurança cibernética.

O bloqueio do Covid-19 fez com que organizações públicas e privadas se tornassem mais dependentes de sistemas de operação digital descentralizada do que nunca. Embora isso tenha trazido benefícios como melhor equilíbrio entre trabalho e vida pessoal e aumento da produtividade, também os abriu para ataques cibernéticos de uma maneira nunca antes vista. Um estudo recente descobriu que 65% das organizações no Reino Unido haviam sido violadas ou expostas a um ataque no ano passado. Apesar disso, no entanto, com muitas organizações observando o tamanho de seu orçamento em meio à turbulência econômica atual, algumas empresas permanecem lentas para investir fortemente no aumento de suas capacidades de segurança cibernética.

Um relatório recente da Atlas VPN afirmou que mais de US$1 trilhão – ou aproximadamente 1% do PIB mundial – foi gasto em segurança cibernética ou desistiu como resultado de um ataque cibernético ao longo de 2020. Ilustrando o quão importante é investir em segurança cibernética, apenas US$145 bilhões desse enorme valor foram gastos na implementação de proteções, com os US$945 bilhões restantes sendo perdidos após violações de segurança cibernética.

De acordo com Sara Ng, especialista em segurança cibernética da The 324 Consultancy, as empresas precisarão começar a evoluir seus esforços de segurança cibernética mais cedo ou mais tarde, se quiserem evitar receber golpes semelhantes no futuro. Falando ao Consultancy.org, Ng explicou que muitas empresas agora esperam que sua equipe de segurança cibernética melhore as coisas dentro de apenas 24 meses – uma perspectiva assustadora, mas que seja factível, desde que possam ter sucesso em quatro fases-chave de desenvolvimento.

“Aqueles que trabalham no setor de segurança sabem que implementar programas de transformação leva tempo”, explicou o Diretor de Tecnologia e Segurança da consultoria. “Mas ainda há mudanças reais que você pode fazer dentro de um período de 12 a 24 meses. Se você está procurando orientação sobre por onde começar com um programa de transformação de segurança cibernética, a 324 Consultancy gerenciou vários programas e ajudou nossos clientes a fazer mudanças transformacionais positivas na postura de segurança cibernética de suas organizações. ”

Fase 1: Atividades de Planejamento e ‘Sem Arrependimentos’

“Depois de ter uma sólida compreensão do seu estado atual, escreva uma estratégia e um plano de segurança cibernética”, aconselhou Ng. “Isso deve articular sua posição alvo recomendada e como chegar lá. A estratégia precisa ser liderada pelos negócios, e é importante comunicar lacunas de segurança aos executivos em termos de impactos em seus negócios.”

Tal estratégia provavelmente precisará de alguns rascunhos antes de encontrar o equilíbrio certo entre aspiração e entregabilidade – no entanto, a chave é sempre procurar definir critérios de sucesso ambiciosos e alcançáveis. Tentar corrigir demais e muito rapidamente pode ser um erro fatal, com quaisquer falhas significando que planos atualizados também parecerão uma luta árdua para aqueles que os implementam. Da mesma forma, as empresas devem ser realistas sobre o orçamento disponível para seus projetos: implementar mudanças cibernéticas também envolve pessoas e processos, portanto, garanta que haja orçamento suficiente para documentação, comunicações, treinamento e aumento de custos operacionais.

“Durante a fase de planejamento, você pode iniciar algumas atividades ‘sem arrependimentos’ em paralelo”, continuou o especialista em cibernética. “Por exemplo, comece a corrigir os problemas de maior risco de qualquer exercício de equipe vermelha que você tenha realizado (“aja como se tivesse sido hackeado”). Você também deve começar a recrutar para cargos-chave em sua equipe.”

Paralelamente, as organizações podem iniciar um exercício de análise de cenário de ameaça. A análise de cenários é o processo de análise de possíveis eventos futuros considerando possíveis resultados alternativos. A análise permitirá que os líderes entendam melhor os cenários que incorreriam na maior perda e/ou impacto negativo na experiência do cliente, permitindo uma melhor tomada de decisão considerando os resultados e suas implicações mais plenamente.

Fase 2: Mobilizar

Tendo usado a fase de planejamento para garantir uma adesão orçamentária e executiva, as empresas devem procurar construir bases sólidas a partir das quais começar a mobilizar o programa. Esta fase envolve atividades como levantar comitês de direção e definir Indicadores-Chave de Desempenho (KPIs).

“É aqui também que você pode usar ‘aceleradores’ para dar um pontapé inicial ao seu programa,” acrescentou Ng. “Por exemplo, algumas atividades de configuração de governança podem ser aceleradas se você tiver acesso a termos de referência e modelos de fretamento. Não reinvente a roda.”

Fase 3: Executar

Seguindo esta etapa, medir os sucessos ao longo do caminho através dos KPIs manterá os patrocinadores do projeto engajados durante toda a execução do plano. Por exemplo, Ng sugeriu que um projeto de conscientização de phishing poderia medir o sucesso “pela redução do número de usuários que caem em e-mails de phishing de teste ao longo de um período de tempo”, enquanto uma implementação de Gerenciamento de Informações e Eventos de Segurança poderia medir o sucesso pelo número de Táticas, Técnicas e Procedimentos (TTPs) que a organização é capaz de detectar. A execução de um plano de comunicação para aumentar a conscientização do programa em toda a empresa também ajudará a criar impulso a partir desses sucessos.

“É aqui que a diversão começa… Você estará no meio de seleções de produtos e serviços, design de soluções, testes e implementação,” disse Ng. No entanto, também deve-se ter cuidado pelas equipes cibernéticas para se manterem adaptáveis à situação. “Seu programa provavelmente experimentará mudanças de escopo ao longo do caminho. Por exemplo, a organização pode descobrir novas ameaças ou descobrir mais problemas. Por causa disso, você deve garantir que seu programa tenha um processo de solicitação de alteração que avalie o impacto nos projetos existentes.”

Fase 4: Transição

Por fim, a maioria dos projetos de tecnologia instala bem ferramentas, mas tudo pode desmoronar depois de entregar às equipes de produção. As questões culturais tendem a ser onde muitas transformações vacilam, já que os funcionários não estão envolvidos com as mudanças que estão sendo feitas ou não são adequadamente apoiados para atualizar seu conjunto de habilidades em correspondência com as alterações.

Ng declarou para este fim: “As equipes de produção devem receber treinamento apropriado, documentação como parte do projeto. O processo de transição de serviços da organização também deve garantir que haja recursos suficientes para apoiar um novo serviço.”

Seguindo em frente

Uma vez que a transformação esteja ganhando impulso, esses quatro estágios terão ajudado a fornecer uma visão de alto nível da organização em geral. Neste ponto, as entidades podem procurar começar a mergulhar na criação de “planos de projeto de alto nível”, o que pode ajudar a fornecer uma visão sobre os cronogramas às partes interessadas.

“Você também precisará fornecer previsões orçamentárias, incluindo CAPEX e OPEX,” acrescentou Ng. Para aproveitar ao máximo essas etapas complexas, ela concluiu que se envolver com especialistas (externos) pode ser uma maneira de garantir os melhores resultados.

FONTE: CONSULTANCY.UK

POSTS RELACIONADOS