0
0
Os líderes empresariais de hoje estão enfrentando dois desafios opostos. Por um lado, as atuais pressões econômicas e recessivas globais significam que as políticas de gastos precisam ser revistas e as reservas de caixa acumuladas. Por outro lado, o volume e a crescente sofisticação das ameaças à segurança cibernética significam que a empresa precisa manter e reforçar as defesas para evitar ser comprometida.
Isso apresenta aos CIOs um grande dilema. Com o custo agora uma preocupação comercial universal, a pressão é para cortar a gordura sempre que possível, e a segurança não é exceção. No entanto, atualmente não faltam conselhos para que os CIOs coloquem a segurança em primeiro lugar e aumentem as compras de segurança de TI para combater o cenário de ameaças cibernéticas intensificadas.
Embora haja um argumento óbvio para aumentar os investimentos em segurança cibernética para mitigar a crescente quantidade de invasores que procuram explorar vulnerabilidades, as realidades comerciais significam que os CIOs estão sendo solicitados a fazer mais com menos.
A boa notícia é que, com planejamento adequado e processos eficazes, é possível economizar custos e mitigar riscos.
Dobrar a gestão de ativos
Boas práticas de segurança não precisam custar caro. Em tempos de restrição orçamentária, vale a pena investir em ações holísticas que reduzam a prevalência de vulnerabilidades potenciais que estão prontas para serem exploradas.
O gerenciamento de ativos é uma área fundamental fundamental que pode ser abordada para minimizar o risco cibernético . Manter um inventário preciso e centralizado de todos os ativos de TI e rastrear a vida útil de cada ativo de TI é vital para garantir que os patches e atualizações de software sejam aplicados em tempo hábil. Ele também garante que os ativos redundantes ou em fim de vida possam ser adequadamente desativados.
Saber onde o inventário de hardware e software está localizado e como ele é protegido possibilita identificar configurações incorretas e solucionar possíveis falhas de segurança. Também facilita a aplicação de requisitos de segurança, identifica dispositivos não gerenciados e avalia quais usuários que têm acesso a sistemas críticos não possuem proteções como autenticação multifator habilitada.
A remoção da TI que não serve mais a um propósito e a atualização de equipamentos e softwares antigos antes do fim da vida útil são essenciais para fortalecer os recursos. Com o planejamento correto e boas práticas básicas de gerenciamento de ativos em jogo, as organizações poderão implementar os controles que reduzem qualquer exposição desnecessária a riscos.
Capacite os funcionários para se tornarem a primeira linha de defesa da organização
Pode parecer contra-intuitivo, mas investir no treinamento de funcionários é outra maneira de reduzir os custos de segurança cibernética. Em termos de recursos, esforço e dispêndio, a despesa de implementar um programa de treinamento rigoroso e contínuo é insignificante quando comparada ao custo operacional, comercial e reputacional associado a uma violação.
A dura realidade é que a segurança cibernética é tanto um problema de pessoas quanto de tecnologia. No ano passado, phishing e anexos de e-mail maliciosos foram a forma mais comum de vetor de ataque experimentada pelas empresas do Reino Unido. Abrir ou clicar nesses e-mails tem o potencial de baixar malware ou até mesmo levar os funcionários a sites que podem ser usados para roubar propriedade intelectual ou até mesmo dinheiro.
Qualquer funcionário desinformado até mesmo sobre os tipos mais básicos de ameaças deixa uma organização aberta a riscos substanciais. Garantir que todos conheçam as manobras cibercriminosas mais recentes, estejam cientes de suas responsabilidades com relação a boas práticas e comportamentos cibernéticos e saibam o que fazer quando encontrarem e-mails suspeitos ou outros eventos de ameaça, ajudará a minimizar a chance de comprometimento da segurança.
Em vez de se comprometer com a tarefa de treinar a força de trabalho em geral por meio de e-mails e apresentações em PowerPoint que são fáceis de ignorar, as organizações devem investir idealmente em experiências de treinamento do mundo real que motivem as pessoas a se envolver e colocar em prática o que aprenderam. Por exemplo, executar simulações que preparam os funcionários para explorações comuns e treinamento interativo gamificado que torna o aprendizado mais relevante e gratificante.
Fazendo escolhas de segurança mais inteligentes
A crise econômica está forçando as organizações a tomar algumas decisões difíceis sobre gastos. Com os cibercriminosos esperando nos bastidores, as preocupações sobre se é uma economia falsa fazer cortes nos investimentos em segurança cibernética é uma preocupação crescente. No entanto, investir em ferramentas de segurança caras será ineficaz se as organizações negligenciarem a implementação das práticas básicas de segurança corretas.
Quando se trata de aumentar a resiliência organizacional, os CIOs não precisam escolher entre economia e segurança. Revisando processos, revisitando o básico, aproveitando ao máximo os recursos existentes e apostando em treinamentos internos, as organizações podem aumentar sua segurança e resiliência digital. A implantação seletiva de ferramentas de segurança cibernética e kits de produtos pode complementar essas boas práticas de maneira altamente econômica.
Em uma recessão, vale a pena redefinir as prioridades de segurança cibernética e revisar como e onde os recursos finitos podem ser melhor implantados. Infelizmente, muitas vezes as organizações confundem boas práticas de segurança com boas compras de segurança, na crença equivocada de que, de alguma forma, é possível “comprar segurança”.
Em última análise, alcançar a resiliência cibernética envolve pessoas, processos e tecnologia. Em tempos de contenção financeira, é melhor prevenir do que remediar. Concentrar os gastos na revisão de práticas como gerenciamento de ativos em uma tentativa de minimizar os vetores de ataque, avaliar se as políticas de segurança são claramente articuladas e implementadas com eficácia e ter procedimentos documentados para itens como segurança de endpoint e gerenciamento de identidade e acesso será uma missão crítica. Assim também será programado um treinamento que desenvolva uma verdadeira resiliência cibernética em toda a força de trabalho.
FONTE: HELPNET SECURITY