Equilibrando orçamento e segurança do sistema: abordagens para tolerância ao risco

Views: 4280
0 0
Read Time:7 Minute, 53 Second

As violações de dados custam um centavo a dúzia. Embora seja fácil encarar essa afirmação de forma negativa, o ponto de vista positivo é que, como resultado, os profissionais de segurança cibernética têm muitos momentos de aprendizagem. Aprender o que deu errado e por que pode ser uma boa verificação de sanidade para organizações que desejam rever sua preparação para segurança e aprimorar seus programas de vulnerabilidade cibernética e gerenciamento de risco.

Recentemente, foi revelado que a Nickelodeon, canal e marca de TV americana, foi vítima de um vazamento de dados. Segundo fontes, a violação ocorreu no início de 2023, mas muitos dos dados envolvidos estavam “relacionados apenas a arquivos de produção, não a conteúdo de formato longo ou dados de funcionários ou usuários, e (pareciam) ter décadas”. A implicação desta declaração ambígua: como os dados são antigos e não estão relacionados com informações de identificação pessoal (PII) de indivíduos ou com qualquer informação proprietária que ainda não tenha sido divulgada publicamente, isto não é um incidente.

Digamos que a Nickelodeon não sofreu nenhum dano material por causa deste incidente – ótimo! É provável, porém, que existam fatos que não conhecemos. Sempre que dados proprietários chegam onde não deveriam, sinos de alerta devem soar na cabeça dos profissionais de segurança. Qual seria o resultado se os arquivos de “décadas antigas” contivessem PII? Alguns dos dados seriam irrelevantes, mas alguns poderiam ser cruciais. E se os arquivos contivessem outros dados protegidos ou privados? E se eles comprometessem a integridade da marca? Todas as organizações precisam pensar nos “e se” e aplicar os piores cenários e os cenários básicos às suas práticas de segurança atuais.

O caso da Nickelodeon levanta a questão de saber se é necessário manter dados de “décadas antigas”. Embora a retenção de dados históricos possa, em alguns casos, beneficiar a organização, cada dado mantido aumenta a superfície de ataque da empresa e aumenta o risco. Por que a Nickelodeon manteve os arquivos antigos em um local onde pudessem ser facilmente acessados? Se os arquivos estivessem em um local separado, a equipe de segurança provavelmente não aplicou controles adequados para acessá-los. Dado que o custo de proteger a tecnologia e toda a sua complexidade inerente já é astronomicamente elevado, os CISOs precisam de priorizar a alocação orçamental e de força de trabalho para todos os projetos e processos de segurança, incluindo aqueles para toda a proteção de dados passada, presente e futura.

Numa economia lenta, equilibrar a segurança do sistema e o orçamento requer habilidade e conhecimento. Mesmo em tempos de expansão, investir mais dinheiro no problema nem sempre ajuda. Não há evidências de que um aumento nos gastos com segurança melhore proporcionalmente a postura de segurança de uma organização. Na verdade, alguns estudos sugerem que uma superabundância de ferramentas de segurança leva a mais confusão e complexidade. Os CISOs devem, portanto, concentrar-se na tolerância e redução do risco empresarial.

Abordagens para gerenciamento de riscos cibernéticos

Como não existem duas organizações iguais, cada CISO deve encontrar uma abordagem de gestão de riscos cibernéticos que se alinhe com os objetivos, a cultura e a tolerância ao risco da organização. O orçamento também desempenha um papel importante aqui, mas garantir mais orçamento será uma tarefa mais fácil se os objetivos de segurança estiverem alinhados com os do negócio. Depois de fazer um balanço destas considerações, os CISOs podem descobrir que as suas organizações se enquadram numa ou mais abordagens fundamentais à gestão de riscos.

Abordagem baseada na tolerância ao risco

Cada empresa – e até mesmo cada departamento dentro de uma empresa – tem tolerância para a quantidade e o tipo de risco que estão dispostos a assumir. Os níveis de tolerância específicos de segurança devem basear-se nos resultados comerciais desejados; o risco de segurança cibernética não pode ser determinado ou calculado apenas com base nos esforços de segurança cibernética, mas sim na forma como esses esforços apoiam os negócios maiores.

Para alinhar a segurança cibernética com o risco empresarial, as equipas de segurança devem abordar a resiliência empresarial considerando as seguintes questões:

  • Como o negócio seria impactado se ocorresse um evento de segurança cibernética?
  • Quais são as implicações operacionais, financeiras e de produtividade de um evento cibernético ou violação de dados?
  • Quão bem equipada está a empresa para lidar com um evento internamente?
  • Que recursos externos seriam necessários para apoiar as capacidades internas?

Com respostas a estes tipos de perguntas e métricas para apoiá-las, os níveis de risco cibernético podem ser definidos de forma adequada.

Abordagem baseada na maturidade

Muitas empresas hoje estimam sua tolerância ao risco cibernético com base em quão maduras elas percebem que sua equipe e controles de segurança cibernética são. Por exemplo, as empresas com um centro de operações de segurança interno (SOC) que suporta um conjunto completo de pessoal experiente podem estar mais bem equipadas para lidar com a monitorização contínua e a triagem de vulnerabilidades do que uma empresa que está apenas a colocar a sua equipa de segurança em funcionamento. Equipes de segurança maduras são boas em priorizar e remediar vulnerabilidades críticas e fechar lacunas em ameaças iminentes, o que geralmente lhes confere uma maior tolerância a riscos de segurança.

Dito isso, muitas equipes de SOC estão sobrecarregadas demais com dados, alertas e manutenção de tecnologia para se concentrarem na redução de riscos. A primeira coisa que uma empresa deve fazer se decidir adotar uma abordagem baseada na maturidade é avaliar honestamente o seu próprio nível de maturidade, capacidades e eficácia de segurança. Uma organização de segurança cibernética verdadeiramente madura está mais bem equipada para gerenciar riscos, mas o autoconhecimento é vital para as equipes de segurança, independentemente do nível de maturidade.

Abordagem baseada no orçamento

As restrições orçamentárias prevalecem em todos os aspectos dos negócios hoje, e administrar um programa de segurança cibernética com equipe completa e totalmente equipado não é uma pechincha em termos de custo. No entanto, as organizações com uma abundância de pessoal e tecnologia não apresentam necessariamente um desempenho melhor em termos de segurança ou risco. É tudo uma questão de ter conhecimento do orçamento para o que será um verdadeiro complemento aos sistemas existentes.

Invista em ferramentas que levem a organização a uma arquitetura baseada em confiança zero, concentrando-se primeiro na base de segurança e na boa higiene. Ao estabelecer as bases certas e ter pessoal competente para gerenciá-las, as equipes de segurança cibernética estarão em melhor situação do que ter as melhores e mais recentes ferramentas implementadas sem dominar os principais controles CIS: inventário e controle de ativos corporativos e de software, proteção básica de dados, configuração segura gerenciamento, gerenciamento de acesso reforçado, gerenciamento de log e muito mais.

Abordagem baseada em ameaças

Um aspecto importante de uma abordagem de gerenciamento de riscos baseada em ameaças é compreender que vulnerabilidades e ameaças não são a mesma coisa. Vulnerabilidades abertas podem levar a ameaças (e devem, portanto, ser uma parte padrão do processo e programa de segurança de cada organização). “Ameaças”, no entanto, referem-se a uma pessoa/pessoas ou evento em que uma vulnerabilidade tem potencial para ser explorada. As ameaças também dependem do contexto e da disponibilidade de um sistema ou recurso.

Por exemplo, a exploração do Log4Shell aproveitou uma vulnerabilidade do Log4j. A vulnerabilidade resultou em uma ameaça às organizações com uma versão não corrigida do utilitário em execução. Organizações que não executavam versões sem patch – nenhuma ameaça.

É portanto imperativo que as organizações conheçam concretamente:

  • Todos os ativos e entidades presentes em seus patrimônios de TI
  • A higiene de segurança desses ativos (ponto no tempo e histórico)
  • Contexto dos ativos (não críticos, críticos para os negócios; expostos à Internet ou isolados; etc.)
  • Controles implementados e operacionais para proteger esses ativos

Com essas informações e contexto, as equipes de segurança podem começar a construir modelos de ameaças apropriados para a organização e sua tolerância ao risco. Os modelos de ameaças utilizados permitirão, por sua vez, que as equipes priorizem e gerenciem as ameaças e reduzam os riscos de forma mais eficaz.

Abordagem baseada em pessoas, processos e tecnologia

Pessoas, processos e tecnologia (PPT) são frequentemente considerados os “três pilares” da tecnologia. Alguns profissionais de segurança consideram o PPT uma estrutura. Qualquer que seja a perspectiva do PPT, ele é a abordagem mais abrangente para o gerenciamento de riscos.

Uma abordagem PPT tem o objetivo de permitir que as equipes de segurança gerenciem o risco de forma holística, incorporando a maturidade, o orçamento, o perfil de ameaça, os recursos humanos, os conjuntos de habilidades e toda a pilha de tecnologia da organização, bem como suas operações e procedimentos, apetite de risco. , e mais. Um programa PPT bem equilibrado é um plano multifacetado que se baseia uniformemente nos três pilares; qualquer fraqueza em uma das áreas inclina a balança e torna mais difícil para as equipes de segurança alcançar o sucesso — e gerenciar riscos.

O embrulho

Cada organização deve avaliar cuidadosamente as suas capacidades individuais, objectivos de negócio e recursos disponíveis para determinar a melhor estratégia de gestão de riscos para eles. Qualquer que seja o caminho escolhido, é fundamental que as equipes de segurança se alinhem com o negócio e envolvam as partes interessadas organizacionais para garantir suporte contínuo.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS