0
0
Como a letra de “Auld Lang Syne” diz tão eloquentemente: “Deve um velho conhecido ser esquecido e nunca trazido à mente?” Enquanto os líderes de segurança aguardam o que o novo ano traz, eles estão fazendo um balanço de tudo – suas equipes, suas tecnologias, seus orçamentos – e tentando planejar o que parece ser outro ano desafiador.
Embora eu não tenha uma Bola 8 Mágica, 2023 parece mais do mesmo – as mesmas restrições orçamentárias, os mesmos problemas na cadeia de suprimentos e os mesmos desafios de segurança cibernética. Atualmente, também há muita pressão sobre os líderes de segurança para fazer mais com menos, ao mesmo tempo em que enfrentam mais escrutínio e mais responsabilidade pela eficácia de seus programas de segurança cibernética. Ataques cibernéticos sofisticados e frequentes, orçamentos reduzidos e uma força de trabalho dispersa apenas exacerbaram os desafios de segurança preexistentes a ponto de ser difícil saber o que abordar primeiro. Portanto, se você é um líder de segurança que ainda está trabalhando em suas resoluções de Ano Novo, a resiliência cibernética deve ser o número 1 em sua lista.
Mudando sua mentalidade
A maioria dos líderes de segurança hoje adotou a mentalidade “não é se, mas quando” em relação aos incidentes de segurança cibernética. Além disso, o gerenciamento de riscos – identificando constantemente os riscos e implementando os controles de mitigação apropriados – continua a ser um componente essencial do gerenciamento geral do programa de segurança cibernética. Mas e se você não conseguir implementar os controles necessários ou se não conseguir identificar um risco crítico? A verdadeira questão é: qual é o seu plano de prontidão quando você se depara com um risco que foi realizado devido à falta de controles atenuantes, controles atenuantes inadequados ou pontos cegos?Recentemente, me encontrei com um cliente em potencial e a equipe de segurança descreveu seus desafios atuais de segurança cibernética, desejos e necessidades de programas/tecnologias e escassez de talentos. Enquanto eles descreviam suas principais preocupações com segurança cibernética, perguntei se eles estavam pensando sobre seus problemas corretamente; em vez de se concentrar no problema X, talvez eles devessem se concentrar no problema Y. Mas então percebi que o líder de segurança daquela empresa vê os mesmos problemas todos os dias, e eles são específicos da organização. Em contraste, no entanto, estando em uma função semelhante à de um consultor de soluções de segurança, vejo muitos tipos diferentes de problemas sendo abordados e resolvidos de várias maneiras.Eu me perguntei o quanto essa diferença de perspectiva afeta nossa capacidade como indústria de alinhar linhas de base, métricas, abordagens de priorização etc. É difícil resolver problemas em nossos programas de segurança cibernética quando os problemas, as organizações que protegemos e nossas prioridades mudam a cada dia. Se concordamos que “não é se, mas quando”, também concordamos que devemos aceitar um certo grau de incerteza ao gerenciar nossa segurança. Não podemos, no entanto, permitir que esses pontos cegos resultem em interrupção dos negócios. Em vez disso, deve haver uma mudança de mentalidade na forma como os programas de segurança cibernética são gerenciados, de um modelo tradicional de gerenciamento de riscos para a resiliência cibernética.
Entendendo o jogo da segurança
A boa notícia é que estamos começando a ver uma mudança nas organizações que priorizam a resiliência e não apenas o risco, embora o gerenciamento eficaz de riscos seja um componente importante da resiliência cibernética. De acordo com um relatório recente da Forrester , houve um aumento significativo de diretores de risco (CROs) que se reportam diretamente ao CEO. Este é um exemplo de um pivô muito necessário na mentalidade empresarial, com a segurança evoluindo de uma caixa de seleção de conformidade para um investimento em uma estratégia de resiliência cibernética. Para empresas com proteções inadequadas, os CISOs precisarão concentrar seus orçamentos em ter uma equipe com recursos, ferramentas adequadas e treinamento robusto.Parte dessa mudança de mentalidade também é entender o jogo de segurança que você precisa jogar e, em seguida, ser capaz de explicar essa estratégia para sua equipe de liderança e conselho de administração. Quando tudo o que você pensa é o risco – estamos arriscados aqui, então vamos tapar este buraco com esta solução, então estamos arriscados aqui, então vamos tapar aquele buraco ali com esta outra solução – é como jogando um jogo de whack-a-mole. Tente levar essa abordagem para o seu quadro como uma estratégia bem definida.Em vez disso, a mensagem precisa ser algo como: De acordo com a pesquisa do setor em nossa vertical, aqui estão as principais ameaças que os invasores podem aproveitar em nosso tipo de ambiente e aqui está como podemos melhorar nosso ambiente. Nossa estratégia é sermos mais resilientes.Agora você tem algo mensurável e pode construir um roteiro de programa de segurança cibernética razoável.
Por que a resiliência cibernética deve ser a número 1 em sua lista de tarefas
Os CISOs que serão mais eficazes em 2023 não procurarão responder à pergunta “Estamos seguros?” Porque a resposta é sempre não – sempre haverá risco. A pergunta certa é “Quão prontos estamos?” Você quer pensar sobre o que aprendeu com aquele incidente cibernético – que é mais do que apenas identificar o risco de forma reativa, avaliar os custos e, em seguida, implementar os controles de acordo. Adivinha? Os invasores também têm esses controles. E quando você passa pelo processo de aquisição, comprovação de valor, seleção do fornecedor e implementação da solução, os invasores estão vários passos à sua frente.Sempre haverá lacunas no que você sabe sobre seu ambiente, portanto, focar na melhoria contínua de seu programa de segurança através da lente de estar pronto para antecipar, resistir, recuperar e adaptar é como você deve abordar 2023.Agora é a hora de os líderes de segurança criarem um programa focado em resiliência cibernética. As empresas não podem eliminar todos os riscos, mas veremos organizações implementando planos e gastos em grande escala onde for necessário, para que estejam preparadas para medir o progresso e a melhoria em seu programa de segurança cibernética. As organizações que adotam a abordagem “suficientemente boa” provavelmente pagarão o preço (e mais) posteriormente.
FONTE: DARK READING