0
0
Ataques cibernéticos como ransomware, golpes BEC e violações de dados são alguns dos principais problemas que as empresas enfrentam hoje, mas, apesar do número de incidentes de alto perfil , muitas salas de reuniões relutam em liberar orçamento para investir nas medidas de segurança cibernética necessárias para evitar se tornar o próximo vítima.
Nesta entrevista da Help Net Security, o ex-diretor de estratégia do Pentágono Jonathan Reiber, vice-presidente de estratégia e política de segurança cibernética da AttackIQ , discute como agora, mais do que nunca, as empresas precisam se proteger dos agentes de ameaças cibernéticas. Ele oferece insights para os CISOs – desde conversar com a Diretoria até a alocação adequada do orçamento.
À medida que as preocupações geopolíticas aumentam em todo o mundo, que conselho prático você daria aos CISOs corporativos que desejam fortalecer suas organizações contra atores de ameaças cibernéticas com motivação política?
À medida que as tensões geopolíticas continuam a aumentar, a preparação contra atores de ameaças cibernéticas politicamente motivadas é um processo desconfortável, mas necessário para se preparar, ou melhor ainda, impedir que isso aconteça.
Os conflitos que ocorrem no ciberespaço são mais sutis e penetrantes do que os conflitos cotidianos que vemos no terreno. Os maus atores são descaradamente descarados em sua abordagem de ataque, espalhando desinformação, confiscando propriedade intelectual e desconsiderando qualquer senso de custo. Este é um desafio significativo para o CISO moderno enfrentar.
No entanto, os CISOs estão bem cientes das táticas, técnicas e procedimentos que os agentes de ameaças farão. A lista da estrutura de ataque do MITRE contém esses doze principais TTPs de comportamento do adversário. Então, a pergunta é: por que isso ainda está acontecendo? No cenário de ameaças digitais, você precisa assumir uma violação, não é uma questão de se, e é uma questão de quando o adversário atacará. Não basta apenas ter essa estrutura, você precisa testar e validar continuamente esses controles para implantar a melhor avaliação e emulações de adversários contra seus controles de segurança em escala, aumentando a visibilidade.
Isso, na minha opinião, pode permitir que o CISO moderno visualize dados de desempenho continuamente e os ajude a rastrear a eficácia de seu programa de segurança em relação ao cenário de ameaças.
Como um CISO pode explicar efetivamente o custo de uma violação de dados ao conselho da empresa? Que tipo de informação leva o ponto principal para um público não técnico?
O custo médio de uma violação está entre US$ 3,86 e US$ 3,92 milhões, e em setores regulamentados como saúde e finanças/bancos, o valor pode ser muito maior com consequências mais terríveis.
Explicar o custo de uma violação depende muito da própria violação. Por exemplo, quando os dados de um consumidor estão em risco – a perda de negócios é o fator contribuinte mais significativo, representando quase 40% do custo total médio de uma violação de dados. Inclui muitos fatores, rotatividade de clientes, perda de receita e despesas de aquisição de novos negócios para mitigar os danos à reputação.
As supostas violações patrocinadas pelo estado custaram em média mais de US$ 4,4 milhões, tornando-se a violação de dados mais difícil para os CISOs recuperarem.
Outros fatores, como o tempo que uma organização leva para detectar e conter um incidente, podem ser prejudiciais ao dano geral. A resposta não é clara, mas as medidas de segurança implementadas antes da violação podem mitigar cenários sérios e caros. A necessidade do CISO de estar ciente do atual cenário de ameaças, em um mundo pós-COVID, o trabalho remoto abriu um volt para novas vulnerabilidades, o CISO com visão de futuro precisa implementar medidas preventivas de segurança cibernética para gerenciar o risco de longo prazo para um companhia.
Uma organização pode investir milhões em hardware, software e pessoas – e ainda assim ser violada. Qual é o segredo para explicar o ROI de segurança aos responsáveis pelo orçamento?
Para medir o sucesso de um investimento, primeiro você precisa quantificar o custo do que está tentando proteger. Em um modelo simplificado, o primeiro passo é mensurar os benefícios de proteção dados, isso começa com uma avaliação de ativos. Quão valiosos são esses dados para mim? Os responsáveis pelo orçamento precisam correr o risco de esses dados não serem protegidos. Se eu não tomar as medidas necessárias para mitigar o risco investindo em ferramentas preventivas de segurança cibernética, qual será o custo disso quando ocorrer uma violação?
É mais econômico validar os controles de uma organização em vez de gastar dinheiro em mais ferramentas. Ao adotar estruturas especializadas para combater ameaças cibernéticas, por exemplo, executando uma defesa informada sobre ameaças, utilizando plataformas automatizadas como Breach-and-Attack Simulation (BAS), os CISOs podem testar e validar continuamente seu sistema. Semelhante a uma simulação de incêndio, o BAS pode localizar quais controles estão falhando, permitindo que as organizações corrijam as lacunas em sua defesa, tornando-as cibernéticas antes que o ataque ocorra.
Como qualquer pessoa pode ser violada, os CISOs estão se perguntando se deveriam alocar mais de seu orçamento para seguro de segurança cibernética em vez de novas tecnologias. Você acha que eles estão fazendo a escolha certa?
A dependência excessiva do seguro cibernético sem o investimento adequado pode levar a custos adicionais, tornando as organizações mais expostas a riscos e vulnerabilidades. Embora as seguradoras possam compensar alguns custos, muitas vezes não podem reparar os danos à reputação de uma empresa após um incidente de segurança. Da mesma forma, se uma empresa gasta milhões em pesquisa e desenvolvimento (P&D) e propriedade intelectual é roubada, nenhum prêmio pode recuperar os custos desse investimento.
A melhor abordagem para os CISOs é buscar uma estratégia de segurança proativa e equilibrá-la com o seguro cibernético, por exemplo, ferramentas de segurança cibernética, como sistemas de simulação de violação e ataque (BAS). Uma estratégia de segurança eficaz não apenas protegerá as organizações e identificará falhas antes de uma ameaça cibernética, até mesmo obter um seguro cibernético, mas ter esses sistemas implementados é vital para reduzir o custo do seguro cibernético.
Ter a cobertura certa de seguro cibernético é fundamental, e os CISOs precisam prestar muita atenção em como os contratos de seguro são elaborados. A falta de atenção aos detalhes pode fazer com que as organizações não tenham a cobertura correta e, particularmente com a natureza metamórfica de nosso atual cenário de ameaças, os CISOs precisam implementar medidas cibernéticas específicas antes que possam comprar cobertura de segurança cibernética.
FONTE: HELPNET SECURITY