0
0
Como diretor de segurança da informação (CISO) da sua empresa, você é responsável pela segurança corporativa e de TI, bem como pela segurança dos dados e ativos da empresa. Você navega em um cenário de fraude de ameaças emergentes e em constante mudança, enquanto analisa, prioriza e comunica essas ameaças a outras pessoas na mesa de nível C. Se os riscos e vulnerabilidades de segurança não forem priorizados adequadamente em um nível organizacional, sua empresa ficará mais vulnerável a violações, hacks e ameaças.
Um Catálogo Único de Riscos “E se”
Seu registro de riscos deve servir como uma estrutura padronizada — um manual “e se” que inclui riscos de segurança atuais e potenciais e como eles podem afetar a organização. Esse registro de risco deve identificar ameaças, descrever a probabilidade de afetar sua empresa e ilustrar o impacto potencial geral — e deve ser atualizado continuamente. Esse inventário de riscos pode incluir descrição de risco, causa, resultado, probabilidade, resultado e ações de mitigação, tudo personalizado para sua organização. Divida seu registro de riscos em seções que mapeiam diferentes unidades de negócios e partes interessadas (infraestrutura, sistemas internos, segurança física etc.) e detalhe como cada uma pode ser afetada por várias ameaças.
Como você decide o que vai para o seu registro de risco ? Muito disso depende da postura de segurança cibernética da sua empresa, dos riscos identificados e dos riscos potenciais. No entanto, existem algumas diretrizes gerais a serem lembradas.
1. A confiança zero é uma obrigação.
Sim, o trabalho híbrido acelera a fraude . Muitas novas tecnologias surgiram à medida que as empresas se adaptam e se ajustam para facilitar o trabalho remoto para suas equipes espalhadas pelo mundo. Agora vivemos em um ambiente de risco elevado, novos tipos de ameaças e alertas constantes. Já faz um ano desde que o presidente Joe Biden emitiu uma ordem executiva de segurança cibernética descrevendo a importância de adotar uma abordagem de segurança cibernética de confiança zero, mas apenas 21% das organizações de infraestrutura crítica adotaram esse modelo de segurança de confiança zero.
Confiança zero é algo sobre o qual as equipes de segurança vêm falando há alguns anos. Pense em como o “perímetro comercial” mudou com várias equipes, vários dispositivos e vários locais. Historicamente, muitos pensavam em zero confiança como “confiar, mas verificar”. A nova confiança zero: “verifique, verifique novamente, depois confie para verificar”. Isso significa validar cada dispositivo, cada transação, cada vez.
2. Planeje “fora dos limites” quando se trata de continuidade de negócios, recuperação de desastres e possíveis ataques cibernéticos.
À medida que você constrói seu registro de riscos, há itens específicos do local de trabalho remoto a serem lembrados. Obviamente, você deseja implementar medidas de segurança que minimizem o tempo de inatividade dos funcionários. Reforce sua identidade e gerenciamento de acesso por meio de métodos como autenticação multifator. Garanta que os dados corporativos sejam criptografados para evitar que dados confidenciais caiam em mãos erradas. Além disso, considere eventos mundiais atuais, previsões econômicas globais e até mesmo desastres naturais imprevisíveis e como cada um deles pode afetar as operações de sua empresa.
3. Cuidado com as lacunas.
O aumento do trabalho remoto correspondeu a um aumento da sombra de TI – aqueles dispositivos, software e serviços que os funcionários adotam sem a aprovação do departamento de TI. O número de aplicativos de software como serviço (SaaS) executados em redes corporativas foi em média três vezes o número que os departamentos de TI conheciam em 2022.
Aqui está o problema: você não pode proteger o que não pode ver. Shadow IT pode introduzir vulnerabilidades de segurança da informação na forma de vazamentos de dados, violações de conformidade e muito mais. À medida que você permite que sua força de trabalho remota seja mais flexível em como eles trabalham, a visibilidade deve ser uma prioridade. Isso, é claro, além de reforçar o gerenciamento de identidade e acesso em geral e dobrar as políticas de confiança zero.
Você deve manter conversas contínuas com as partes interessadas para ficar um passo à frente da TI oculta e da expansão de aplicativos. Considere criar políticas que abram um diálogo com a TI e o resto da empresa. Essas políticas também podem incentivar os funcionários a procurar a TI se quiserem solicitar um novo aplicativo.
4. Busque o maior denominador comum de conformidade.
O atual cenário global de proteção de dados está em constante mudança, com vários regulamentos, iniciativas de conformidade, estruturas e mandatos (GDPR, FIPS, ISO 27001, SOC, FedRAMP e muito mais). E também há mandatos específicos de país, região e estado, como a Lei Geral de Proteção de Dados do Brasil e a Lei de Privacidade do Consumidor da Califórnia (CCPA).
Então, como você pode garantir que sua organização esteja em conformidade? Procure o maior denominador comum em vários regulamentos. Pegue pedaços de diferentes mandatos, regulamentos e diretrizes e envolva-os na estrutura exclusiva de sua própria empresa. Você pode adotar alguns regulamentos do Regulamento Geral de Proteção de Dados da UE (GDPR) que são mais rigorosos, enquanto adota outros regulamentos mais rígidos da lei brasileira . Dessa forma, você adere aos mais altos níveis de regulamentos de privacidade de dados em tempo real, ao mesmo tempo em que oferece suporte à sua base global de clientes.
Uma palavra final sobre higiene básica de TI
Ao considerar as diretrizes acima, lembre-se disso: Se você corrigir corretamente suas máquinas, ficar de olho no gerenciamento de configuração e adicionar/remover usuários em tempo hábil, você estará lá. Embora sempre haja novos desafios a serem enfrentados (novos mandatos governamentais, atualizações de conformidade, possíveis riscos de segurança), alcançar a higiene básica de TI é 99% do jogo.
FONTE: DARK READING