0
0
Uma semana antes de as bombas começarem a cair na Ucrânia, a Agência de Segurança cibernética e infraestrutura dos EUA (CISA) emitiu um aviso “Shields Up” para os interesses dos EUA. O aviso foi seguido por avisos de ataques cibernéticos apocalípticos de especialistas em todo o espectro político e de notícias. Embora os ataques desastrosos ainda não tenham se materializado, ainda há avisos a serem observados e medidas a serem tomadas para minimizar a chance de sua organização se tornar uma vítima de uma guerra que não mostra sinais de acabar em breve.
Agora, para aqueles que ainda não leram o aviso “Shields Up”, aqui está a versão tl;dr: “Você sabe todas as coisas de segurança cibernética que temos dito para você fazer na última década? Nós falamos sério. E nós realmente quero dizer isso agora. Não houve nada inovador no aviso, nenhuma notícia de grandes novas ameaças ou sugestões de novas ações ousadas. Apenas um lembrete sólido e vermelho gritando de que as boas práticas de cibersegurança são a melhor proteção que temos contra tudo, desde ransomware até ataques de zero-day.
Mas já que estamos todos procurando algo para nos fazer sentir que estamos fazendo algo especial em resposta a um conjunto especial de circunstâncias, aqui está a melhor abordagem única que você pode tomar para nivelar sua cibersegurança corporativa: fazer de melhores comunicações uma prioridade maior.
Seja um bom ouvinte
Esta é uma sugestão de 360 graus para comunicações. Comece ouvindo todas as fontes confiáveis de informação que você pode encontrar. Se você está envolvido em qualquer tipo de infraestrutura crítica, por exemplo, sua organização deve ser membro da InfraGard, uma parceria FBI/setor privado para compartilhar informações. Existem parcerias semelhantes, cada vez menos formais, em outros setores do mercado. Certifique-se de ter alguém participando de qualquer um para o qual você é elegível.
Dedique o tempo da equipe para aprender sobre novas ameaças, novas opções de resposta e o estado atual do ambiente de ameaças. Se sua equipe for grande o suficiente, dê “batidas” ou atribuições diferentes para monitorar determinados canais de informação ou tópicos. Se a equipe for menor, trabalhe em conjunto para identificar esses canais de informação ou tópicos, certifique-se de que algum tempo seja dedicado dentro de cada semana para monitorar as fontes para os últimos desenvolvimentos. Então compartilhe a informação que vem da pesquisa.
Você obviamente quer compartilhar as informações dentro da equipe de segurança e TI, mas também deve planejar compartilhar as informações com o resto da organização. Estes são tempos estressantes e boas informações ajudarão a manter os funcionários sentindo que eles estão mais no controle porque você está dizendo a eles o que está acontecendo e o que eles podem fazer sobre isso. Certifique-se de comunicar isso em uma linguagem concisa, não técnica e amigável. Se você está procurando uma maneira disciplinada de fazer isso, considere algo como o formato pecha kucha — 20 slides por 20 segundos cada.
Outro conjunto de comunicações deve estar acontecendo com sua cadeia de suprimentos. Esta é uma era em que as comunicações regulares com provedores de nuvem, empresas de hospedagem, provedores saas e outros devem ser frequentes e regulares. Pergunte a eles o que eles estão fazendo para proteger sua infraestrutura, o que eles estão fazendo para proteger seus ativos, e o que seus outros clientes estão fazendo que parece estar funcionando. Então compartilhe suas estratégias, suas vitórias e suas preocupações. Tempos estressantes não são a ocasião para ir sozinhos — aproveite o conhecimento coletivo de sua cadeia de suprimentos.
Além de Touchy-FeelyÉ
pode ser tentador descartar tudo isso como atividade sensível ao toque em vez de ação real. A falta de comunicação leva à proliferação de lacunas no conhecimento e na proteção — lacunas que são os esconderijos perfeitos e pontos de vulnerabilidade para atores de ameaças. Mantenha seus ativos de cibersegurança mais valiosos – seu povo – no seu mais forte, certificando-se de que eles estão se comunicando dentro e fora da organização. Faça da comunicação uma prioridade, e sua organização sairá de 2022 mais forte do que quando entrou.
FONTE: DARK READING