0
0
Mitigando o risco de terceiros, colocando a segurança no processo de desenvolvimento, defendendo-se contra ataques de ransomware, acompanhando os esforços de transformação digital – essas são apenas algumas coisas que são top-of-mind para os CISOs hoje.
A aparência muito frequente da segurança como um tópico de criação de manchetes de primeira página colocou os CISOs no banco quente, já que CEOs e conselhos se preocupam que possam ser seus nomes em seguidas em notícias tentando explicar como ocorreu uma violação.
No entanto, a mensagem CISO para o C-suite pode não ser tão reconfortante.
Cerca de 64% dos CISOs temem que suas empresas estejam em risco de um grande ataque de segurança cibernética no próximo ano e 66% sentem que sua organização não está preparada para lidar com isso, de acordo com o Relatório Voice of the CISO 2021 da fabricante de software de segurança Proofpoint.
Em resposta, os CISOs estão ajustando estratégias para reforçar sua postura de segurança. Eles parecem acreditar que estão no caminho certo: Proofpoint observa que 65% dos CISOs acreditam que serão mais capazes de resistir e se recuperar de ataques cibernéticos até 2023.
É claro que cada CISO tem seu próprio roteiro de segurança, mas elementos comuns surgiram. De acordo com CISOs, analistas e líderes de segurança, a lista típica de prioridades CISO hoje tem muitos ou a maioria desses 15 itens:
1. Um foco nos fundamentos
Os fundamentos de segurança continuam sendo uma prioridade máxima. “Não é o tópico divertido e sexy de segurança cibernética, mas é importante que nos certifiquemos de lidar com o bloqueio e o combate adequadamente”, diz Tyrone Jeffress, vice-presidente de engenharia e oficial de segurança da informação dos EUA na consultoria digital Mobiquity.
Para esse fim, Jeffress diz que ele e outros CISOs permanecem focados em executar perfeitamente o gerenciamento de ativos, patches, gerenciamento e configuração de vulnerabilidades, além de fornecer educação e treinamento em conscientização sobre segurança.
Os números da pesquisa Proofpoint confirmam essa tomada, observando que aprimorar os principais controles de segurança é uma das prioridades mais citadas listadas pelos CISOs.
2. Identificando, mitigando o risco de terceiros
O ataque SolarWinds, no qual uma de suas plataformas foi hackeada, elevou o risco de terceiros no topo da lista de prioridades do CISO, diz Neil Daswani, veterano líder em segurança cibernética e coautor de Big Breaches: Cybersecurity Lessons for Everyone.
Daswani diz que o hack, identificado pela primeira vez no final de 2020, ilustra a necessidade de os CISOs entenderem toda a tecnologia em uso em suas organizações para que possam criar processos apropriados para examinar seus fornecedores e elaborar estratégias sobre a melhor forma de mitigar riscos.
3. Garantindo segurança dentro do código da empresa
Da mesma forma, os CISOs estão se tornando mais focados em encontrar vulnerabilidades dentro do código usado por sua empresa, diz Brian Johnson, um especialista em segurança que cofundou a empresa de segurança da informação Crucyble.
“Tanto código é compartilhado nos dias de hoje, e vimos muitos problemas de código, código que usamos de outras pessoas, possivelmente código-fonte aberto malicioso”, diz ele, observando que ele e outros CISOs estão comprometendo recursos para examinar o novo código que está sendo implantado e revisitar o código implantado para erradicar quaisquer vulnerabilidades ou bugs.
4. Defendendo-se contra ataques de ransomware
Ataques de ransomware atingiram novos níveis em 2021, com ataques à Colonial Pipeline e à multinacional embalagem de carne JBS fechando infraestrutura crítica e impactando a vida diária em partes dos Estados Unidos.
Tais notícias colocaram os CISOs em alerta máximo, de acordo com quase todos os líderes de segurança.
“Isso significa testar continuamente nossa postura de segurança – tanto por meio de testes internos quanto externos, envolvendo avaliações de segurança e conformidade de terceiros, bem como envolvendo os principais pesquisadores/testadores globais de segurança. O monitoramento de segurança moderno e orientado por dados para identificar e responder metodicamente a ameaças é outro aspecto fundamental. Também é fundamental testar nossa preparação para as respostas por meio de exercícios de mesa em andamento que testam vários cenários de ameaças”, diz Sanjay Macwan, diretor de informações e diretor de segurança da informação da Vonage.
5. Obtendo suporte no nível do conselho
“Outra prioridade do CISO é garantir que todos os executivos estejam cientes do que está acontecendo no cenário de ameaças e qual nível adicional de investimento é necessário para combater essas ameaças”, diz Daswani, que também atua como codiretor do Programa de Certificação de Segurança Avançada de Stanford.
Isso tem mais CISOs apresentando ou até mesmo reportando diretamente aos conselhos, dizem os especialistas. Na verdade, a Gartner, uma empresa de pesquisa e consultoria tecnológica, estima que 40% dos conselhos corporativos terão um comitê dedicado de segurança cibernética até 2025, acima de 10% em 2021. A pesquisa da empresa também indicou que os conselhos agora veem o risco relacionado à segurança cibernética como a segunda maior fonte de risco para a empresa, perdendo apenas para o risco de conformidade regulatória.
6. Apoio à transformação e objetivos estratégicos
À medida que as organizações continuam digitalizando e acelerando suas transformações, espera-se que os CISOs acompanhem o ritmo. Consequentemente, os CISOs estão pensando na segurança como um facilitador de negócios.
“Do ponto de vista do conselho, a prioridade é apoiar os objetivos de negócios e negócios e fazê-lo de uma maneira que nos permita [como empresa] fazer as coisas com segurança para proteger nossos clientes, nossos funcionários e a empresa em geral, e fazê-lo, proporcionando uma boa experiência ao cliente. Esse é o mantra abrangente”, diz David Levine, vice-presidente de segurança corporativa e da informação e CSO do provedor de serviços digitais e gerenciamento de informações Ricoh USA.
Como os CISOs apoiam essa missão varia de uma empresa para outra, dizem os especialistas, acrescentando que ela está se tornando uma prioridade mais universal para as equipes de segurança ano após ano.
7. Aumentando a agilidade
Kriss Warner, líder global de consultoria em segurança cibernética com o Info-Tech Research Group e um CISO certificado pela ISACA, vê uma prioridade relacionada entre a maioria dos CISOs: a motivação para “se adaptar rapidamente enquanto permanece resiliente”.
Os CISOs estão treinando a si mesmos e suas equipes para trabalhar em um modo mais ágil para acompanhar os negócios, diz Warner. “Temos desastres naturais, jogadores do estado-nação [no espaço de malware], coisas diferentes atingindo CISOs a partir do nível do conselho, todas essas coisas exigem que os CISOs sejam mais ágeis”, acrescenta ele.
8. Equipes de capacitação
A competição por talentos de segurança é acirrada, com a pandemia exacerbando um mercado já competitivo. De acordo com Gartner, houve um aumento na demanda por funções de infosegurança, com uma recuperação de 65% na demanda nos Estados Unidos. Portanto, os CISOs continuam priorizando manter seus trabalhadores existentes e treiná-los para as habilidades específicas de que precisam para garantir ambientes em evolução, diz Brian M. Gant, professor assistente de segurança cibernética na Maryville University. Há uma ênfase particular na capacitação dos trabalhadores em segurança na nuvem e inteligência contra ameaças, bem como gerenciamento de acesso e identidade.
9. Abordando a segurança da IoT
IoT Analytics em seu relatório State of the IoT 2020 estimou que havia 12 bilhões de conexões de internet das coisas no ano passado, um número que pela primeira vez superou o número de conexões não IoT. A empresa de pesquisa de mercado previu que haverá mais de 30 bilhões de conexões IoT até 2025.
“Tudo está sendo conectado, e isso é algo em que os CISOs terão que pensar estrategicamente”, diz Gant.
Gant diz que os CISOs estão prestando mais atenção à segurança em torno dos dispositivos conectados e aos dados que produzem. Eles estão desenvolvendo estratégias para saber exatamente o que e quanto têm se conectando à sua rede. Eles também estão revisitando seus programas de gerenciamento de identidade e acesso para incluir IoT.
10. Segurança por design
Mudar a segurança para a esquerda é uma prioridade para Macwan, o Vonage CIO/CISO.
“Simplesmente colocado, em tudo o que fazemos – produtos e serviços para nossos clientes ou ferramentas e tecnologias que permitem a experiência de nossos funcionários – todos devem incorporar segurança, privacidade, confiança e conformidade apropriadas desde o início”, diz ele.
Outros CISOs ecoam esses pensamentos e também listam a segurança desde o início como prioridade.
“Os problemas de segurança custam exponencialmente menos para corrigir quando descobertos durante o desenvolvimento antes da implantação na produção, por isso é uma parte crítica do meu roteiro (e muitos dos meus colegas) colocar feedback de segurança nos pipelines de desenvolvedores e capacitar os desenvolvedores a tomar decisões relevantes de segurança com antecedência e segurança”, diz Kyle Tobener, chefe de segurança e TI da
11. Mais automação
Para ajudar as equipes de segurança a lidar melhor com um ambiente de TI mais amplo e atividades de ataque aprimoradas, muitos CISOs aceleraram sua implantação de tecnologias de automação.
Na verdade, a pesquisa Proofpoint listou “melhorar a automação de segurança” como o número 4 em sua lista de prioridades identificadas pelos CISOs que respondem.
Jeffress diz que os CISOs estão usando a automação para identificar melhor ameaças e acelerar a resposta, bem como impor padrões de segurança durante todo o desenvolvimento e implantação de novos códigos no ambiente. Ele observa que a automação é uma parte fundamental da criação de código seguro, da implementação de segurança por design e da mudança para o modelo de segurança de confiança zero cada vez mais popular.
12. Fortalecendo a segurança do trabalho remoto
A pesquisa CISO da Proofpoint revela que quase dois terços dos CISOs respondentes acreditam que o trabalho remoto tornou suas organizações mais vulneráveis a ataques cibernéticos, com 58% deles vendo ataques mais direcionados desde que permitiram o trabalho remoto generalizado.
“As pessoas podem estar colocando a si mesmas e à empresa em risco não intencionalmente, mas porque o ambiente de trabalho é tão diferente”, diz Levine.
Isso faz com que os CISOs promulgam estratégias de confiança zero e segurança de identidade para criar um modelo de negócios seguro de trabalho de qualquer lugar, de acordo com analistas, pesquisadores e consultores.
13. Protegendo a nuvem
Quase 40% das organizações que responderam à pesquisa 451 Research por sua Voz da Empresa: Nuvem, Hospedagem e Serviços Gerenciados, Orçamentos e Outlook 2021 aumentaram seu uso de nuvem pública durante a pandemia, com a grande maioria deles indicando que a mudança para a nuvem pública seria permanente.
A empresa de Levine faz parte dessa tendência, e isso o faz repensar a estratégia de segurança. Ele está implantando novas ferramentas, processos e modelos de governança para apoiar a infraestrutura. E ele está implementando um programa abrangente de governança de segurança na nuvem para obter visibilidade de sua equipe do ambiente de nuvem de sua empresa e impor a adesão a configurações e padrões de segurança adequados.
14. Acompanhando as leis de privacidade emergentes e em evolução
Virginia aprovou a Lei de Proteção de Dados do Consumidor (CDPA) no início de 2021, promulgando regulamentos semelhantes à Lei de Privacidade do Consumidor da Califórnia. Colorado seguiu o exemplo em julho, com sua Lei de Privacidade do Colorado (CPA).
Tais ações são criadas uma crescente colcha de retalhos de regulamentos de privacidade que as organizações devem rastrear e seguir.
Isso tem CISOs, em cooperação com conformidade e outros dentro da liderança empresarial, tentando implementar as tecnologias e processos que abordam de forma eficaz e eficiente as várias leis como estão hoje e à medida que continuam a evoluir, diz Warner.
“É quase uma conversa diária com CISOs e líderes empresariais. Eles gostariam de implantar algo e querem se mudar para novos mercados, mas precisam integrar leis sérias de privacidade e segurança em seus programas para fazer isso”, diz ele.
15. Construindo planos de continuidade para contabilizar eventos globais
Levine está abordando outra questão de segurança revelada pela pandemia: deficiências em seus planos de continuidade de negócios. Ele diz que ele e outros CISOs estão revisitando suas estratégias de continuidade e resiliência que, em sua maior parte, não explicaram um evento de impacto mundial.
“Tínhamos planos, mas isso não contemplava que todos voltassem para casa da noite para o dia”, diz ele, acrescentando que o antigo plano assumiu que a diversidade geográfica de funcionários e instalações permitiria que o trabalho em uma área impactada mudasse para regiões não afetadas. “Agora temos que repensar como é a continuidade dos negócios.”
FONTE: CSO ONLINE