0
0
Todos concordamos que ataques cibernéticos são inevitáveis. O próximo passo para os profissionais de cibersegurança é chegar a um consenso sobre a melhor maneira de se preparar para ameaças desconhecidas que espreitam no horizonte.
Em uma era em que as violações estão mais caras do que nunca, pode ser tentador abrir a carteira corporativa para comprar novos produtos de segurança cada vez que uma nova ameaça surgir. Então, quando o último risco é mitigado e um novo problema aparece, outra solução é comprada.
Lidar com o risco enfrentando cada ameaça de “ponto no tempo” à medida que surgem é uma estratégia sub-ideal. Em vez de reagir a ameaças, é melhor que as organizações construam estratégias proativas que antecipem o risco, em vez de simplesmente responder a ele.
Hoje, as equipes de segurança podem ir além de apenas detectar ameaças para prever a probabilidade de uma violação. No passado, isso era difícil porque havia poucos métodos confiáveis e falta de dados contextuais para determinar o risco em toda a organização. Sem informações precisas, equipes de segurança e executivos da suíte C foram deixados para tomar decisões sem visibilidade clara se elas correspondiam ao cenário de ameaças de curto e longo prazo.
Agora, é possível olhar para o futuro e fazer previsões de risco contextuais usando quantificação de risco cibernético. Ao prever a probabilidade de uma violação, as organizações podem ir além da estratégia maluca de esmagar problemas à medida que surgem e começar a construir para o amanhã, seguindo uma estratégia baseada em insights significativos e orientados por dados. É hora de começar a olhar para a frente.
Prever e proteger
As organizações estão agora nadando em dados gerados por uma ampla gama de fontes que vão desde sistemas de defesa de segurança cibernética até serviços externos de inteligência de ameaças. Dentro dessa informação está a história do que está acontecendo agora. No entanto, a grande quantidade de dados que as organizações geram também pode ser usada para construir previsões apoiadas pela ciência de dados sobre violações antes que elas aconteçam.
Quando os dados são colhidos e analisados corretamente, ele pode ser usado para fornecer uma pontuação de risco em tempo real que é útil para melhorar a eficiência das equipes de segurança, ajudando-os a priorizar o risco. Também permite uma comunicação mais simples o risco para todas as partes interessadas. Eles também podem usar a pontuação para influenciar os tomadores de decisão e impulsionar conversas significativas, juntamente com investimentos direcionados para mitigar ameaças.
Comunicar o risco é o primeiro passo proativo para mitiga-lo. Há um passo crucial além da pontuação. Certas plataformas de quantificação de risco cibernético que aproveitam os princípios da ciência de dados para executar simulações de Monte Carlo podem transformar uma pontuação de risco em um impacto financeiro que mostra quanto uma violação custará a uma organização. Esta é uma ferramenta poderosa para os profissionais de segurança que lhes permite se comunicar em uma língua que todos entendem: dólares e centavos. Uma vez que o processo correto de pontuação de risco esteja em vigor, as equipes de segurança podem avaliar ameaças em tempo real e, em seguida, mover-se para um modelo preditivo que antecipa incidentes antes que ocorram.
As recompensas da quantificação de risco cibernético
Para avançar em direção a um modelo preditivo de cibersegurança, existem cinco vetores de risco que toda organização deve estar ciente.
O primeiro vetor de risco são as pessoas. Os funcionários estão envolvidos na maioria dos incidentes de segurança cibernética – fato suportado por violação após violação.
A próxima é a política. As organizações devem ser capazes de entender a eficácia de sua governança de segurança analisando e pontuando seu alinhamento com as melhores práticas do setor e estruturas de conformidade.
Os produtos de tecnologia e segurança cibernética devem ser analisados como vetores separados, oferecendo uma imagem completa do risco em toda a pilha e o desempenho de cada solução de segurança.
A visão interna da pilha de tecnologia de um negócio deve dar uma visão panorâmea da postura de risco dos ativos de tecnologia on-prem e on-cloud. Ativos em nuvem (AWS, Azure, GCP), aplicativos SaaS, bancos de dados, servidores, pontos finais, nós de segurança de rede e aplicativos web/mobile/ grosso-cliente devem ser todos monitorados em tempo real.
Além disso, terceiros também precisam ser avaliados para descobrir como contribuem para o perfil de risco de uma organização. Uma visão externa dá a uma organização a capacidade de automatizar avaliações não intrusivas com base em seus nomes de domínio primários.
A análise de todos os cinco vetores de risco pode revelar elos fracos nas defesas de forma holística e granular, destacando vulnerabilidades que afetam toda uma empresa, bem como questões relacionadas a cada vetor de risco, até o nível de departamentos ou indivíduos. Mais uma vez, essas informações mostram as fraquezas que afetam uma organização no curto prazo, mas também podem indicar a probabilidade de uma futura violação a longo prazo.
Uma vez obtidos dados sobre níveis de ameaça, o próximo passo é atribuir-lhe uma pontuação e valor em dólar. Isso permite que as equipes de segurança se comuniquem com as partes interessadas usando um score de risco cibernético em toda a empresa, objetivo, unificado e em tempo real, com base na análise dos aspectos comerciais e técnicos da organização.
Apoiar o futuro
CisOs em todo o mundo sabem que pode ser difícil falar com o conselho e persuadi-los a gastar mais dinheiro para mitigar danos potenciais. Se um ataque já ocorreu, poucos executivos reterão dinheiro para pagar a limpeza. É muito mais difícil convencer os tomadores de decisão a financiar trabalhos preventivos para reduzir o risco de uma violação no futuro se a ameaça for nebulosa e mal definida. Por exemplo, sabemos que o ransomware provavelmente será um problema contínuo. Simplesmente contar ao conselho sobre este assunto não será necessariamente persuasivo. Mas se os profissionais de segurança podem dizer que o nível de ameaça atingiu o mais alto da escala – e o custo potencial e dano de uma violação atingiu um novo pico, os executivos são mais propensos a entrar em ação.
Preparados com informações sobre a probabilidade e o custo potencial do dólar de uma violação, os líderes podem tomar decisões de investimento em segurança cibernética informadas para aceitar, mitigar ou transferir o risco. Isso pode incluir a oferta de treinamento para departamentos nos quais o nível de risco humano é muito alto; sistemas de patches ou atualização para reduzir riscos; e garantir que a cobertura de seguros cibernéticos seja adequada para cobrir os danos potenciais que uma violação causaria.
O perigo não vai embora. As ameaças continuarão chegando. Não podemos alterar esses fatos. No entanto, mudando sua abordagem para gerenciar, comunicar e prever riscos, os profissionais de segurança podem se preparar para o futuro antes que isso aconteça. Uma vez que as capacidades preditivas de quantificação de risco cibernético estejam em vigor em toda a indústria, literalmente nunca olharemos para trás.
FONTE: HELPNET SECURITY