0
0
Os CISOs acreditam ter medidas adequadas de proteção de dados, mas muitos lidaram com a perda de dados confidenciais no ano passado. Como conciliar esta aparente contradição?
A perda de dados apesar das medidas de proteção não é tão surpreendente. Estamos todos tentando recuperar o atraso na segurança cibernética. A internet foi inventada em um laboratório do governo e depois comercializada no setor privado. O hardware, software e redes foram originalmente projetados para comunicação aberta. Inicialmente, a segurança cibernética não era uma consideração importante. Essa mentalidade certamente mudou devido à explosão da conectividade e do comércio na Internet, e os CISOs também estão fazendo um grande jogo para recuperar o atraso.
Há uma infinidade de causas que podem explicar a exfiltração de dados confidenciais. A primeira é que os adversários hackers se tornaram mais sofisticados e capazes de violar. As ferramentas e táticas básicas que os hackers usam para exploração incluem malware, engenharia social , phishing (o mais fácil e mais comum, especialmente spear-phishing voltado para executivos corporativos), ransomware, ameaças internas e ataques DDOS . Além disso, eles costumam usar ferramentas de hacking avançadas e automatizadas compartilhadas na dark web, incluindo ferramentas de IA e ML usadas para atacar e explorar as redes das vítimas. Esse baú de armamento hacker em evolução não é tão fácil para os CISOs se defenderem.
Outro grande fator é que a realidade é que a conectividade digital exponencial impulsionada pela pandemia do COVID-19 mudou o paradigma de segurança. Muitos funcionários agora trabalham em escritórios híbridos e remotos. Há mais área de superfície de ataque para proteger com menos visibilidade e controles para o CISO. Portanto, é lógico concluir que dados mais confidenciais foram e serão expostos a hackers.
A noção de proteção adequada é um equívoco, pois as ameaças estão constantemente se transformando. Basta um phishing astuto, uma configuração incorreta ou uma falha em fazer um patch oportuno para uma lacuna para fornecer uma oportunidade para uma violação. Finalmente, muitos CISOs tiveram que operar com orçamentos limitados e pessoal cibernético qualificado. Talvez eles tenham expectativas mais baixas quanto ao nível de segurança que podem alcançar nessas circunstâncias.
Como a crise econômica pressiona os orçamentos de segurança, como os CISOs podem otimizar seus recursos para gerenciar os riscos de segurança cibernética de maneira eficaz?
Os CISOs devem adotar uma estratégia prudente de gerenciamento de riscos de acordo com seu setor e tamanho que possam seguir para permitir que eles otimizem melhor os recursos. Uma boa estratégia de gerenciamento de riscos criará uma estrutura de vulnerabilidade que identifica ativos e dados digitais a serem protegidos. Uma avaliação de risco pode identificar e priorizar rapidamente as vulnerabilidades cibernéticas para que você possa implantar imediatamente soluções para proteger ativos críticos de agentes cibernéticos mal-intencionados, melhorando imediatamente a segurança cibernética operacional geral. Isso inclui proteger e fazer backup de sistemas empresariais como: sistemas financeiros, servidores de troca de e-mail, RH e sistemas de aquisição com novas ferramentas de segurança (criptografia, inteligência e detecção de ameaças, firewalls, etc.) e políticas.
Existem medidas em uma estrutura de vulnerabilidade que não são proibitivas em termos de custo. Essas medidas podem incluir a exigência de senhas fortes para os funcionários e a exigência de autenticação multifator . Os firewalls podem ser configurados e os CISOs podem fazer planos para segmentar seus dados mais confidenciais. O software de criptografia também pode ser acessível. O uso da nuvem e nuvens híbridas permite a implementação de políticas dinâmicas, criptografia mais rápida, reduz custos e oferece mais transparência para controle de acesso (reduzindo ameaças internas). Um bom provedor de nuvem pode fornecer alguns desses controles de segurança por um custo razoável. As nuvens não são inerentemente arriscadas, mas os CISOs e as empresas precisam reconhecer que devem avaliar minuciosamente as políticas e os recursos do provedor para proteger seus dados vitais.
E se um CISO for responsável por proteger uma pequena ou média empresa sem uma equipe profunda de TI e segurança cibernética abaixo dele e desconfiar dos custos e gerenciamento da nuvem, ele também pode considerar serviços de segurança gerenciados externos.
Como as organizações podem proteger melhor suas informações confidenciais durante a alta rotatividade de funcionários?
Isso vai ao encontro da essência da estratégia de confiança zero . Confiança zero (ZT) é o termo para um conjunto em evolução de paradigmas de segurança cibernética que movem as defesas de perímetros estáticos baseados em rede para se concentrar em usuários, ativos e recursos. As organizações precisam saber tudo o que está conectado à rede, dispositivos e pessoas.
O gerenciamento de acesso de identidade ou IAM é muito importante. IAM o rótulo usado para o conjunto de tecnologias e políticas que controlam quem acessa quais recursos dentro de um sistema. Um CISO deve determinar e saber quem tem acesso a quais dados e por quê. Se um funcionário sair, ele precisará revogar imediatamente os privilégios e garantir que nada confidencial seja removido da organização. Existem muitas boas ferramentas IAM disponíveis de fornecedores no mercado.
Certamente, com a rotatividade de funcionários, há elementos éticos e de confiança envolvidos. As ameaças internas dos funcionários são difíceis de detectar e gerenciar. Parte disso pode ser abordada antecipadamente em contratos de trabalho com a compreensão do funcionário dos parâmetros legais envolvidos, é menos provável que eles escorram com dados confidenciais.
Vimos um aumento do esgotamento do CISO e preocupações sobre responsabilidade pessoal.
Sim, o esgotamento é resultado direto de CISOs com muitas responsabilidades, pouco orçamento e poucos funcionários para executar as operações e ajudar a mitigar as crescentes ameaças cibernéticas. Agora, os fatores de responsabilidade pessoal exemplificados como a ação coletiva contra o CISO da Solar’s Wind e o processo contra o CISO da Uber por ocultar pagamentos de ransomware aumentaram o risco. Em um setor que já carece do número necessário de líderes e técnicos de segurança cibernética, os CISOs precisam receber não apenas as ferramentas, mas também as proteções necessárias para que se destaquem em suas funções. Caso contrário, os problemas de esgotamento e responsabilidade colocarão mais empresas e organizações em maior risco.
Como esses desafios afetam a eficácia geral dos CISOs em suas funções e quais medidas podem ser tomadas para resolvê-los?
Apesar das tendências de maior frequência, sofisticação, letalidade e responsabilidades associadas às incursões, a gestão do setor tem estado despreparada e lenta para agir para se tornar mais cibersegurança. Uma pesquisa do Gartner descobriu que 88% dos Conselhos de Administração (BoDs) veem a segurança cibernética como um risco de negócios, em oposição a um risco de tecnologia, de acordo com uma nova pesquisa, e que apenas 12% dos BoDs têm um comitê dedicado de segurança cibernética no nível do conselho.
“É hora de os executivos de fora da TI assumirem a responsabilidade de proteger a empresa”, disse Paul Proctor , chefe de pesquisa para riscos e segurança. “O influxo de ransomware e ataques à cadeia de suprimentos observados ao longo de 2021, muitos dos quais direcionados a ambientes de operação e missão crítica, deve ser um alerta de que a segurança é uma questão de negócios, e não apenas outro problema para a TI resolver.”
Os CISOs não precisam apenas de um assento à mesa no C-Suite, mas também precisam de proteções de seguro comparáveis a outras gerências executivas que limitam sua responsabilidade pessoal. Não há panacéia para a segurança cibernética perfeita. Violações podem acontecer com qualquer empresa ou pessoa em nosso precário cenário digital. Não é justo ou um bom negócio deixar o CISO fazer isso sozinho. Em um contexto semelhante, a segurança cibernética não deve mais ser vista como um item de custo para empresas ou organizações. Tornou-se um ROI que pode garantir a continuidade das operações e proteger a reputação. O investimento na empresa e na remuneração do CISO e no portfólio de funções exigidas precisa ser uma prioridade daqui para frente.
Como o risco da cadeia de suprimentos continua sendo uma prioridade recorrente, como os CISOs podem gerenciar melhor esse aspecto de suas estratégias de segurança cibernética, especialmente com orçamentos limitados?
Garantir que a cadeia de suprimentos não seja violada, incluindo os elementos de design, fabricação, produção, distribuição, instalação, operação e manutenção, é um desafio para todas as empresas. Os invasores cibernéticos sempre procurarão o ponto de entrada mais fraco e a mitigação do risco de terceiros é fundamental para a segurança cibernética. Os ataques cibernéticos da cadeia de suprimentos podem ser perpetrados por adversários do estado-nação, operadores de espionagem, criminosos ou hacktivistas.
Os CISOs exigem visibilidade de todos os fornecedores na cadeia de suprimentos, juntamente com políticas e monitoramento definidos. O NIST, uma agência não reguladora do Departamento de Comércio dos EUA, tem uma estrutura sugerida para a segurança da cadeia de suprimentos que fornece diretrizes sólidas do governo e da indústria.
NIST recomenda:
- Identifique, estabeleça e avalie os processos de gerenciamento de riscos da cadeia de suprimentos cibernéticos e obtenha o acordo das partes interessadas
- Identificar, priorizar e avaliar fornecedores e parceiros fornecedores terceirizados
- Desenvolva contratos com fornecedores e parceiros terceirizados para atender às metas de gerenciamento de riscos da cadeia de suprimentos de sua organização
- Avalie rotineiramente fornecedores e parceiros terceirizados usando auditorias, resultados de testes e outras formas de avaliação
- Testes completos para garantir que os fornecedores e provedores terceirizados possam responder e se recuperar da interrupção do serviço
Outros esforços de mitigação podem ser feitos com a aquisição de novas tecnologias que monitorem, alertem e analisem as atividades na cadeia de suprimentos. As ferramentas de inteligência artificial e aprendizado de máquina podem fornecer visibilidade e análise preditiva, e as tecnologias estenográficas e de marca d’água podem fornecer rastreamento de produtos e software.
FONTE: HELP NET SECURITY