0
0
Como alguém que está no setor de segurança cibernética há quase duas décadas, acho revigorante ver que as entidades federais estão colocando mais foco nas mudanças que precisam acontecer para manter as organizações seguras. Com o Departamento de Defesa (DoD), a Agência de Segurança Cibernética e de Infraestrutura (CISA) e a Casa Branca lançando diretrizes e políticas cibernéticas atualizadas, um novo – e muito merecido – senso de urgência e importância foi colocado em torno de defesas cibernéticas, preparação e talento qualificado.
Da mesma forma, os novos requisitos de segurança cibernética propostos há muito aguardados pela Comissão de Valores Mobiliários dos EUA (SEC) aludem a uma regra de divulgação de incidentes iminente e prova de experiência em segurança cibernética nos conselhos das empresas. Enquanto aguardamos a linguagem final, acredito que esses requisitos são um passo na direção certa para elevar a transparência e a comunicação, enfatizando em última análise como a segurança cibernética é um imperativo de negócios em todos os setores.
Mas com uma ressalva importante.
Por mais que a pressão adicional da SEC e de outras agências governamentais sobre relatórios e divulgação em tempo hábil seja uma força necessária para a mudança, muitas organizações não estão equipadas para lidar com esse nível de supervisão e relatórios. Atualmente, muitos líderes de segurança não têm os meios para reunir evidências para compartilhar com os conselhos e a liderança executiva, resultando em menos de 60% de resultados de prontidão para violações e resposta a incidentes. Além disso, mais da metade dos líderes de segurança (55%) concordam que sua equipe de segurança cibernética não tem os dados necessários para demonstrar prontidão para responder adequadamente às ameaças cibernéticas.
A busca por melhores abordagens
Para cumprir as diretrizes governamentais, as organizações devem investir em maneiras mais eficazes de construir e provar capacidades cibernéticas entre as equipes por meio de exercícios práticos. As organizações devem fazer uma mudança de paradigma em sua abordagem à segurança cibernética que compreende as seguintes ações:
1. Forneça métricas específicas para comprovar resiliência e capacidades. Apesar de pontos de prova e métricas acionáveis estabelecerem a base de quase todas as outras funções de negócios, a medição é praticamente inexistente quando se trata de identificar falhas e pontos fortes das posturas de segurança cibernética das organizações. Para promover a resiliência cibernética de uma organização, as equipes de segurança cibernética precisam de melhores métodos para avaliar e provar suas capacidades e resiliência, especialmente quando você considera que a maioria dos líderes de segurança cibernética pode concordar que o conselho de sua organização está colocando mais pressão sobre sua equipe de segurança cibernética para provar a resiliência cibernética.
Sem métricas para medir a eficácia, como os líderes sabem se os investimentos dispendiosos em treinamento valem a pena? Portanto, embora as equipes tenham as ferramentas certas de gerenciamento de risco e conduzam avaliações de prontidão para violações, elas não estão avaliando ou treinando suficientemente para resiliência.
2. Afaste-se das “soluções pontuais” tecnológicas. À medida que o cenário de ameaças continua a evoluir, a maioria dos líderes de segurança está se voltando para mais ferramentas de tecnologia para adicionar às suas pilhas de tecnologia em constante crescimento para provar sua força de segurança cibernética para as principais partes interessadas. A implementação de “soluções pontuais” provavelmente deixará brechas em uma organização, tornando-a vulnerável a invasores. Existem ferramentas disponíveis que combatem quase todos os desafios de segurança nos dias de hoje, mas uma abordagem plug-and-play não é o sistema mais eficaz.
Os CISOs (Chief Information Security Officers, diretores de segurança da informação) devem considerar a consolidação de suas ferramentas para mitigar a complexidade. Mesmo assim, uma solução simplificada não pode ser a única linha de defesa. Uma das previsões do Gartner para 2023 é que os desafios enfrentados pelos CISOs evoluirão além da tecnologia, segurança cibernética e controles – e, em vez disso, antecipa que haverá um foco no elemento humano. As soluções de tecnologia de segurança devem ser combinadas com uma força de trabalho testada e capaz de ser eficaz na resposta a ameaças cibernéticas se – e quando – elas acontecerem.
3. Coloque seu pessoal em primeiro lugar em sua abordagem para uma segurança cibernética eficaz. A adoção de uma abordagem de segurança cibernética proativa e centrada nas pessoas coloca as organizações em uma posição melhor para combater ameaças cibernéticas e provar resiliência aos conselhos e à liderança da empresa. Embora as organizações possam estar investindo em métodos tradicionais de treinamento em segurança cibernética, como certificações, exercícios de mesa e trabalho em sala de aula, essas táticas são em grande parte insuficientes para combater os ataques cibernéticos atuais, particularmente com os recentes surtos de ransomware e tecnologias de IA generativas. Não sou o único a pensar nisso – apesar do aumento dos investimentos em treinamento, 80% dos líderes cibernéticos não acreditam que suas equipes tenham capacidade para responder a ataques futuros.
Para lidar com os desafios contínuos de pessoal e a lacuna de talentos, os líderes cibernéticos devem reavaliar as práticas de contratação. Os gerentes de RH e de contratação estão confiando demais e enfatizando demais as certificações, rejeitando candidatos qualificados ou criando uma barreira dispendiosa à entrada para talentos em início de carreira e de segurança diversos.
Para atender a essas novas expectativas, os CISOs devem estar mais bem equipados com métricas estratégicas e pontos de prova para alinhar melhor sua organização para defesa contra o cenário de ameaças em constante mudança. Nossa abordagem atual de prontidão cibernética e resiliência precisa de algum trabalho – mas é promissor ver que a segurança cibernética e seus líderes estão finalmente conseguindo seu lugar na liderança da mesa. O simples conceito de múltiplos entes federativos fazendo um esforço concentrado para enfatizar a necessidade de comunicação e comprovação é um impulso promissor na direção certa.
FONTE: DARK READING