Principais conclusões das conversas de mesa com CISOs da Fortune 100

Views: 190
0 0
Read Time:4 Minute, 44 Second

Recentemente, visitei a Costa Leste e me reuni com CISOs (Chief Information Security Officers, diretores de segurança da informação) da Fortune 100 em diferentes setores para ter discussões francas sobre segurança cibernética e o cenário de conformidade regulatória em mudança. Esses líderes discutiram os impactos de violações significativas e os desafios mais sérios que enfrentam hoje. Como muitas organizações lutam para acompanhar as novas regulamentações e, simultaneamente, enfrentam desafios de contratação, descobri alguns desafios e experiências compartilhados de CISOs, independentemente do tamanho ou localização de sua organização.

Regulamentos e Agências Federais

Os CISOs geralmente têm uma relação complexa com as agências reguladoras. Cada vez mais, os governos estão compartilhando recomendações e criando regulamentações para construir estratégias robustas de segurança cibernética. É importante estabelecer relações com órgãos federais antes de sofrer uma violação. Os relacionamentos com indivíduos em agências-chave para o seu setor ajudam você a entender claramente quais agências contatar no caso de um incidente de segurança. Alguns dos CISOs com quem falei haviam experimentado violações significativas, e aqueles com relacionamentos existentes com agências relevantes navegaram facilmente no processo de resposta e abordaram o incidente de forma eficiente e rápida.

À medida que o cenário de conformidade regulatória muda, os CISOs concordam sobre a importância de se manterem atualizados com os requisitos regulatórios. Algumas regulamentações exigem que as organizações registrem divulgações sobre suas práticas de segurança cibernética periodicamente. O Regulamento Geral de Proteção de Dados (GDPR), o Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA) e a Administração Nacional de Cooperativas de Crédito (NCUA) exigem que as organizações divulguem informações sobre um incidente de segurança cibernética material dentro de 72 horas, enquanto a Securities and Exchange Commission (SEC) permite 96 horas. O cronograma significa que planos robustos de resposta a incidentes devem estar em vigor para fazer uma determinação rapidamente.

Da mesma forma, os CISOs antecipam que a Certificação de Modelo de Maturidade de Cibersegurança (CMMC) afetará seriamente os principais contratados para contratos do Departamento de Defesa, porque os principais contratados são responsáveis por garantir que seus subcontratados atendam ao nível CMMC apropriado para seu trabalho. Muitos subcontratados menores precisam estar mais preparados para responder às inúmeras perguntas e controles necessários.

Os CISOs dos setores público e privado aceitam a inevitabilidade dessas mudanças. Eles estão tentando encontrar o equilíbrio entre colocar as proteções certas em vigor para atender às regulamentações e estar prontos para relatar rapidamente se um incidente significativo ocorrer. Contratar e reter talentos em cibersegurança é essencial para alcançar esse equilíbrio.

Desafios e Oportunidades de Contratação

À medida que os desafios de segurança cibernética continuam evoluindo, a escassez de pessoal está crescendo na força de trabalho. (ISC)2 A pesquisa mostrou uma lacuna de força de trabalho de 3,4 milhões de profissionais cibernéticos em todo o mundo em 2022, mesmo com muitas organizações enfrentando riscos crescentes, trabalhando para cumprir novos requisitos regulatórios e adotando novas tecnologias. Os desafios de contratação são duplos: encontrar o talento certo é difícil e muitas organizações buscam aumentar a diversidade da equipe.

Apesar das demissões no setor de tecnologia, os CISOs ainda têm dificuldade em encontrar pessoas para preencher suas funções abertas. Na Flórida, no entanto, descobri que muitas pessoas se mudaram para a área durante a pandemia, tornando as funções disponíveis mais fáceis de preencher lá.

Para lidar com a impossibilidade de obter todo o talento de que precisam, os CISOs com quem falei estão procurando usar mais automação. As equipes de segurança são inundadas com grandes quantidades de dados à medida que o cenário tecnológico muda e novas ferramentas surgem. Os líderes de segurança estão procurando automação para classificar esses dados e destacar o que suas equipes precisam focar. Todos querem mais inteligência artificial (IA) e aprendizado de máquina (ML) para facilitar a proteção adequada dos dados, da infraestrutura e das organizações pelas quais são responsáveis.

Papel dos CISOs e Seguro D&O

Violações massivas, como as que expuseram os dados de mais de 50 milhões de clientes da Uber, estão avançando a conversa sobre o papel do CISO e se os CISOs precisam de seguro de diretores e diretores (D&O). O CISO da Uber, Joseph Sullivan, foi condenado a pagar uma multa de US$ 50,00 e completar 200 horas de serviço comunitário e três anos de liberdade condicional por seu papel na violação de 2016. Enquanto alguns na indústria veem isso como uma falha de segurança mais ampla e um conto de advertência para os CISOs no que diz respeito ao seu papel entre a equipe executiva corporativa, outros acreditam que Sullivan deturpou a situação e assumiu maior responsabilidade.

Esses incidentes mostram que o papel do CISO e o relacionamento de relatórios com a equipe executiva e o conselho podem precisar de revisão. Hoje, os CISOs têm uma responsabilidade significativa pela reputação e sucesso de suas organizações, e muitos acreditam que é hora de exigir o seguro D&O como parte de seu papel de liderança em segurança cibernética, assim como o resto da equipe executiva faz.

O que vem por aí?

À medida que os CISOs olham para o futuro, eles estão fortemente preocupados com o aumento das regulamentações e a necessidade de cumpri-las. Os líderes de segurança precisam escolher quais controles são mais importantes e alinhá-los a uma estrutura de conformidade. Isso pode ajudá-los a obter o orçamento necessário para criar um programa de segurança cibernética eficaz que combine automação, IA, ML e talentos de segurança cibernética para enfrentar os desafios à frente – de preferência sem precisar dessa cobertura de seguro D&O.

FONTE: DARK REDING

POSTS RELACIONADOS