0
0
Atualmente, o papel do CISO exige uma forte bússola moral: você deve defender a proteção dos dados do cliente e estar pronto para lidar com situações desconfortáveis, como pressão para minimizar uma violação real. Admitimos que ocorreu uma violação de dados ou apenas a chamamos de falha do sistema que causou alguma visibilidade de dados acidental menor? Os CISOs têm a tarefa de tomar decisões cruciais e oportunas para evitar repercussões legais.
Somando-se a essa pressão, o discurso jurídico recente sobre violações de segurança cibernética se concentrou em saber se a empresa ou o indivíduo responsável fez o suficiente para proteger os dados da empresa e do cliente contra ataques cibernéticos, bem como em como eles lidaram com qualquer notificação aos clientes afetados. Houve até processos judiciais de alto nível envolvendo CISOs que supervisionaram a resposta a uma violação na qual os próprios CISOs enfrentaram consequências legais.
Há claramente um foco em garantir que as empresas e os CISOs tenham o devido cuidado na proteção dos dados de seus clientes. Isso exige que empresas e organizações menores e menos maduras tenham uma nova visão de suas múltiplas camadas de defesa e garantam que cada camada seja implementada adequadamente.
Em resumo, os CISOs devem aprimorar seus programas de segurança. Aqui estão três áreas concretas para focar.
Habilidades pessoais: Contratando fortes analistas de segurança
Frequentemente, o componente mais subestimado de um programa de segurança, pessoas qualificadas podem ser, de longe, a camada de segurança mais valiosa. Precisamos ir além de olhar para as pessoas como engrenagens substituíveis em uma máquina e reconhecer os talentos únicos e individuais que os profissionais de segurança trazem para a mesa, bem como aprender a recrutar e contratar as habilidades certas.
Aprendi a procurar quatro atributos que tornam alguém um forte profissional de segurança da informação: habilidades de “como”, “quais” habilidades, motivação e eficácia. Por meio do processo de entrevista, procuro a interseção de três ou quatro dessas áreas para encontrar as pessoas mais bem-sucedidas. Aqui está o que eles implicam:
- As habilidades de “como” abrangem o conhecimento fundamental das entranhas dos sistemas operacionais, como o Linux e sua estrutura de auditoria, bem como as habilidades de script Python que permitem que alguém realize investigações forenses.
- As habilidades “o quê” são evidenciadas pela experiência do mundo real na execução de atividades específicas, como a investigação das 10 principais vulnerabilidades de código OWASP em aplicativos baseados na web.
- Drive é essencialmente uma curiosidade intelectual para ir um passo além, fazer as perguntas certas e mostrar uma capacidade de ir fundo, por exemplo, construindo suas próprias ferramentas e estruturas para acelerar as investigações.
- Eficácia refere-se a um histórico de sucesso e à capacidade de desempenho consistente no tipo de modo “always-on” que as equipes modernas de SecOps esperam.
Embora algumas dessas habilidades possam ser ensinadas, você pode economizar tempo aumentando o nível de sua equipe com novos contratados que possuam alguma combinação delas. E a garra e a motivação para ir atrás de problemas difíceis e inovar constantemente é algo que diferencia profissionais fortes. Quando ocorre um desastre, os analistas de segurança com esse impulso extra são aqueles que você deseja ter ao seu lado.
Melhoria do processo: resposta a incidentes
Muitas equipes de segurança gastam a maior parte de seus orçamentos tentando reduzir a probabilidade de um evento adverso, mas apenas uma fração de seu orçamento tentando reduzir seu impacto. Mas as evidências do mundo real mostram que devemos “assumir a violação”. Na verdade, o relatório “Custo de uma violação de dados” de 2023 da IBM constatou que 95% das empresas estudadas sofreram mais de uma violação. Se um ataque bem-sucedido for inevitável, os CISOs devem se concentrar em como lidar com isso adequadamente para reduzir o raio de explosão, limitando o número de registros de dados afetados. Isso, por sua vez, ajuda a limitar as repercussões legais e outros custos associados a uma violação de privacidade, como compensação para clientes afetados.
As empresas precisam de um processo de resposta a incidentes que seja ágil o suficiente para responder rapidamente sem ser muito prescritivo. A mentalidade de negócios, especialmente no setor de tecnologia, geralmente se concentra na agilidade e no tempo de lançamento no mercado. Às vezes, essa mentalidade parece estar em desacordo com a segurança e a conformidade e exige que o CISO implemente controles atenuantes.
Pude apoiar essa mentalidade ágil de negócios em meu trabalho na Jotform, mesmo quando implementei os controles relativamente estruturados da estrutura SOC II Tipo 2. Durante meus primeiros 90 dias de trabalho, tive que fazer uma rápida avaliação da maturidade do processo para ver onde precisávamos de melhorias. Precisávamos implementar padrões de segurança na infraestrutura de nuvem e no desenvolvimento de aplicativos da web. Mas, o mais importante, descobri que estabelecer processos repetíveis para respostas e investigações de incidentes era um fator importante para o sucesso, fazendo a chamada correta e oportuna em uma investigação de violação de dados.
Por exemplo, os clientes às vezes podem pensar que há uma violação de dados em uma de suas plataformas SaaS quando, com muita frequência, a causa principal é uma configuração incorreta ou um erro do usuário do lado do cliente. Como uma equipe de resposta a incidentes que investiga esse tipo de preocupação do cliente, é fundamental ter processos bem documentados e repetíveis para garantir que você possa desenvolver uma imagem clara do que aconteceu para apoiar a tomada de decisões corretas e rápidas. Se você deixar de relatar algo que é uma violação de dados real em tempo hábil, é quando as repercussões legais ocorrerão.
Tentações tecnológicas: escolhendo a solução certa
Existem duas tentações concorrentes no cenário da tecnologia que o profissional de segurança experiente deve enfrentar.
A primeira é a tentação de confiar totalmente no poder da ferramenta. Uma confiança excessivamente otimista nas ferramentas e promessas do fornecedor pode não identificar problemas de segurança se as ferramentas não forem implementadas e operacionalizadas adequadamente em seu ambiente. Uma ferramenta brilhante de SIEM, por exemplo, é inútil a menos que você tenha ações de resposta claramente documentadas a serem tomadas para cada alerta, bem como pessoal totalmente treinado para lidar com as investigações.
A segunda tentação, que acredito ser mais prevalente em empresas de tecnologia e SaaS, é não confiar em nenhuma ferramenta, exceto na tecnologia interna. O processo de pensamento é o seguinte: “Como temos uma equipe de desenvolvimento sólida e queremos manter um banco de desenvolvedores para qualquer eventualidade, precisamos manter suas habilidades afiadas, então podemos construir nossas próprias ferramentas”.
É um argumento sólido – até certo ponto. No entanto, pode ser um pouco arrogante acreditar que sua empresa tem o conhecimento necessário para desenvolver as melhores soluções SIEM, sistemas de tíquetes, ferramentas SAST e o que você tem. Embora as tecnologias de código aberto certamente possam ser fundamentais para muitas dessas necessidades de software, a quantidade de personalização e configuração que as equipes investem para operacionalizar as ferramentas desenvolvidas internamente pode ser proibitiva em termos de custo, e a desvantagem é que os profissionais acabam gastando tempo em áreas fora de sua especialidade, diminuindo a eficiência.
Para assuntos fora de suas principais competências corporativas, as empresas talvez devessem adotar um termo do passado: o conceito de “reengenharia habilitada por pacote”, que era tão popular na década de 1990. Para aqueles que não viveram naquela época, a essência disso é que um fornecedor especializado em um determinado espaço – digamos: gerenciamento automatizado de incidentes – pode de fato ter os melhores insights e ter desenvolvido um software verdadeiramente de ponta. solução adequada a esta necessidade.
Incorporados a esta solução estarão as melhores práticas e processos que as empresas podem adotar facilmente em vez de inventar seus próprios. Portanto, a empresa deve reprojetar suas próprias práticas de gerenciamento de incidentes para corresponder aos fluxos de trabalho que já saem da caixa de fornecedores de ponta – uma abordagem legalmente defensável para demonstrar o devido cuidado, provavelmente por uma fração do custo total de desenvolvimento e mantendo uma solução interna.
As respostas certas
Aumentar a segurança pode reduzir o risco de sua empresa se tornar alvo de um processo judicial. Mas mesmo no tribunal da opinião pública, se algo ruim acontecer, os executivos de segurança cibernética geralmente precisam provar que fizeram o suficiente para tentar impedir a violação de dados e que lidaram com tudo com o nível certo de transparência.
Por mais que uma equipe qualificada, procedimentos repetíveis e boas ferramentas possam ajudar, se algo ruim acontecer, a responsabilidade pela tomada de decisões e pela comunicação geralmente fica com o CISO. Ser franco e direto em suas comunicações com clientes, reguladores e o público em geral, demonstrando tanto a devida diligência na implementação de proteções quanto o devido cuidado na resolução de incidentes, é a melhor maneira de manter você e seu empregador longe de problemas legais.
FONTE: HELP NET SECURITY