0
0
Nesta entrevista da Help Net Security, Baya Lonqueux, CEO da Reciproc-IT , discute o cenário em evolução da segurança cibernética e os conjuntos de habilidades essenciais necessários para as equipes que trabalham nesta área. A entrevista destaca a mudança da especialização técnica para um foco nas competências organizacionais e de governação para gerir os riscos de segurança cibernética das empresas.
Lonqueux também aborda as medidas proativas necessárias para mitigar os riscos de segurança cibernética, enfatizando a importância de identificar as necessidades de segurança, garantir a conformidade e simular riscos para ações priorizadas.
Mesmo as equipes mais qualificadas podem achar difícil gerenciar a segurança cibernética. Quais conjuntos de habilidades são mais cruciais para as equipes neste cenário em constante mudança?
De um modo mais geral, as equipas que lidam com riscos de cibersegurança são principalmente operacionais e mais técnicas. Este campo tem sido visto há muito tempo como um assunto puramente de TI, e a educação forneceu e continua a fornecer recursos técnicos. O que falta preencher hoje é a organização, governança e gestão dos riscos de segurança cibernética. Essas são as habilidades que precisam ser integradas nos negócios.
Como evoluíram os métodos e objetivos dos ciberataques e o que isso significa para as estratégias de proteção empresarial?
Os ciberataques evoluem rapidamente, antecipando as medidas tomadas e a serem tomadas pelas empresas. Os ciberataques reconhecem e monitorizam constantemente as suas vítimas, permitindo-lhes estar um passo à frente. As empresas, por sua vez, precisam de direcionar a sua estratégia de proteção, protegendo o que é sensível, isolando ativos críticos para evitar proteções de vigilância massivas que incentivam o erro.
A ação proativa é fundamental para mitigar os riscos de segurança cibernética. Que medidas proativas as empresas deveriam implementar?
- Garantir que a empresa esteja ciente das suas necessidades de segurança e defini-las claramente, envolvendo os gestores do negócio: o principal objetivo desta ação é direcionar o ativo a ser protegido.
- Com base na expressão desta necessidade, verifique o nível de conformidade: as medidas de segurança necessárias para satisfazer esta necessidade estão corretamente aplicadas?
- Isto envolve simplesmente a realização de uma análise de lacunas no seu sistema de informação para determinar o nível de maturidade das medidas já aplicadas,
- Essas medidas atendem ao estado da arte, a um padrão corporativo (regulatório ou interno)?
- Com base nesses resultados, simule os riscos para verificar se a empresa pode ser potencialmente atacada.
- São definidos cenários de risco e seu nível de probabilidade. Os cenários mais prováveis são priorizados para ações corretivas.
Como a conformidade se enquadra na estratégia mais ampla de gestão de riscos de segurança cibernética? É um impulsionador ou um subproduto de uma estratégia sólida de segurança cibernética?
A conformidade é, sem dúvida, uma das forças motrizes por trás de uma estratégia sólida de segurança cibernética.
As empresas devem questionar constantemente o seu nível de conformidade com os padrões de segurança. Esta abordagem baseada na conformidade facilitará a implementação de um processo de melhoria contínua. Uma solução vencedora para uma resiliência bem-sucedida.
Você pode falar sobre algumas regulamentações globais que afetam o modo como as empresas gerenciam os riscos de segurança cibernética e como eles devem ser considerados em uma estratégia de proteção de ponta a ponta?
Até à data, o único regulamento que realmente teve impacto e aumentou a sensibilização entre empresas de todos os setores e tamanhos foi o GDPR , a proteção dos dados pessoais dos cidadãos europeus. Este regulamento, que data de 2018, abalou as coisas. As empresas são forçadas a saber quais dados precisam proteger, onde estão armazenados e como protegê-los. Como resultado, as empresas começaram a levar a segurança a sério e a compreender o que está em jogo.
A regulamentação é uma boa forma de aumentar o nível de maturidade das empresas quando se trata de segurança. Os próximos regulamentos europeus, NIS2 e DORA, terão um impacto significativo. Afetarão uma grande proporção de empresas e abordarão a segurança da informação de ponta a ponta nos níveis organizacional, funcional e operacional. E é aí que fica interessante!
Que conselho você daria para organizações que buscam melhorar o gerenciamento de ponta a ponta dos riscos de segurança cibernética?
Minha resposta está quase implícita em todas as respostas anteriores.
Para fornecer segurança que atenda aos desafios que enfrenta, uma empresa precisa ser pragmática, garantir o que é necessário e crítico e priorizar suas ações. Você não pode proteger tudo e mais nada. A análise de risco deve ser uma ferramenta essencial e é esta abordagem que deve orientar as boas práticas de segurança. Comprar ferramentas de segurança cibernética sem saber onde conectá-las não faz sentido.
- Identifique seus ativos críticos
- Verifique seu nível de conformidade
- Simule e analise seus riscos
- Aplicar as medidas necessárias correspondentes aos riscos identificados
- Acompanhar o plano de ação vinculado a essas medidas
FONTE: HELP NET SECURITY