0
0
Os líderes de negócios devem avançar para uma compreensão mais profunda dos requisitos de regulamentação e conformidade para seu setor. Essas leis frequentemente complicadas e confusas são muitas vezes vistas apenas através das lentes negativas de evitar a punição. Mas há um valor real a ser encontrado nessas regras, pois elas podem facilitar a criação de uma nova “estrutura prescritiva” que ajuda uma empresa a entender mais claramente onde está em termos de risco – e a proteção de seus dados e reputação de marca.
A importância de uma estrutura prescritiva para a segurança cibernética
Executivos e até membros do conselho têm a responsabilidade de exigir e contribuir para a criação da estrutura prescritiva correta em colaboração com o diretor de segurança da informação (CISO). Essa estrutura precisa fornecer transparência, identificar lacunas de segurança e usar métricas apropriadas à empresa. E os dados nessa estrutura devem ser facilmente digeríveis e utilizados por especialistas que não são de segurança na avaliação e aprovação de propostas sobre segurança cibernética.
PCI DSS (Payment Card Industry Data Security Standard) para empresas de varejo e FFIEC CAT (Federal Financial Institutions Examination Council’s Cybersecurity Assessment Tool) no espaço de serviços financeiros são estruturas de segurança cibernética bem conhecidas que podem servir como base para o desenvolvimento de uma em sua empresa . Ambos medem um grande conjunto de controles de segurança (autenticação, segurança de dados e priorização de vulnerabilidades) que ajudam a diminuir a postura de risco organizacional e dão às empresas uma compreensão de quão sólida é sua política de segurança.
Um CISO pode se beneficiar usando esses tipos de padrões e ferramentas do setorpara criar uma estrutura completa e que possa ser compreendida por executivos que não sejam especialistas em segurança. Dessa forma, ele pode orientar “de forma prescritiva” a maneira como as lacunas e vulnerabilidades de segurança não são apenas identificadas, mas tratadas dentro de um contexto de negócios apropriado.
Fatores na seleção da estrutura de risco de segurança cibernética correta
A grande questão para uma empresa é: como selecionamos e usamos a estrutura correta de segurança cibernética existente para informar a criação de nossas próprias diretrizes? Três variáveis principais orientam essa escolha: tamanho e maturidade da organização, questões de relevância para o setor e compreensão dos processos internos de negócios da empresa.
1. Tamanho da empresa
Empresas maiores muitas vezes já terão requisitos bem articulados para adesão obrigatória a vários tipos de controles regulatórios. E as empresas públicas devem apresentar relatórios para cumprir os regulamentos financeiros, como os exigidos pela Securities and Exchange Commission para fusões e aquisições públicas ou aquisições de private equity. Ambas as fontes conterão uma certa quantidade de inteligência de segurança cibernética para auditorias que são fontes de entrada valiosas para sua estrutura.
Para empresas menores, as equipes de TI e segurança são enxutas e os processos são mais limitados simplesmente por causa da maturidade e dos recursos da organização. Isso geralmente resulta em responsabilidades regulatórias sobrepostas – por exemplo, um CISO com responsabilidade pela política de segurança e conformidade. As sobreposições podem ser vantajosas no mapeamento de processos organizacionais — já que há menos partes interessadas para coletar as informações de política e um processo de aprovação menos burocrático e oneroso.
2. Relevância do setor
Os problemas de controle de segurança têm diferentes pesos de importância, dependendo do que é crítico no setor específico. No varejo, uma estrutura de segurança cibernética como o PCI DSS faz um excelente trabalho ao articular os problemas com muitos controles de segurança comuns necessários para proteger dados valiosos do cliente. No entanto, o PCI DSS pode não funcionar bem em um setor como o de manufatura, onde a empresa pode residir inteiramente no local com pouco ou nenhum acesso a uma rede externa. Nesse caso, os problemas de segurança giram em torno da proteção de IP interno crítico, e uma diretriz agnóstica mais vertical, como o National Institute of Standards and Technology Cybersecurity Framework ( NIST CFS ), pode ser um lugar melhor para começar.
3. Processos de Negócios
Muitas vezes, as empresas pensam em segurança cibernética apenas da perspectiva de forças externas. Eles se esquecem de pensar nas vulnerabilidades que podem ser causadas por seus próprios processos internos cotidianos. Uma compreensão de como os dados são armazenados, processados ou transmitidos dentro da empresa fornece maior clareza sobre quais controles e medidas de segurança são necessários em diferentes estágios do ciclo de vida dos dados.
Grandes organizações terão processos internos bem codificados. As empresas menores podem nunca ter articulado seus processos de negócios, que podem ter crescido organicamente (e sem supervisão) ao longo do tempo. Se a segurança cibernética é um problema (e é), é hora de ir ao seu líder de TI ou CISO para criar um mapeamento inicial de seus processos.
Cibersegurança e o verdadeiro fiduciário
À primeira vista, alguns executivos podem pensar que pedir uma estrutura de conformidade de segurança cibernética utilizável está levando as preocupações de segurança cibernética longe demais. Mas como isso é diferente de esperar que um diretor financeiro forneça um balanço patrimonial, demonstração de lucros e perdas e análises robustas de possíveis aquisições? Não é. Tanto as estruturas de segurança quanto a análise financeira devem ser baseadas em modelos reconhecidos e aceitos pelo setor para dados que sejam úteis e acionáveis por fiduciários e gerentes não especializados. Hoje, as informações financeiras e de segurança devem ser consideradas de igual valor e importância nas decisões executivas e do conselho.
Para CISOs, executivos e membros do conselho, é hora de olhar para os regulamentos como amigos, não inimigos, na evolução da preparação para a segurança cibernética.
FONTE: DARK READING