Uma perspectiva CISO: 5 considerações-chaves para defender seu negócio de ameaças cibernéticas

Eu tive recentemente a oportunidade de reunir Tim Orchard e James Hatch da BAE Systems Applied Intelligence em uma discussão em webcast sobre como defender seu negócio contra ameaças cibernéticas.

O componente de tecnologia para atenuar o risco cibernético é um fator crítico. Como Diretor de Segurança de Tecnologia e Informação, (CISO, sigla em inglês para Chief Information Security Officer) de uma organização global e mediante o Mês de Conscientização sobre Segurança Cibernética do Departamento de Segurança Nacional dos EUA, queria compartilhar essas perspectivas com vocês.

No mundo digital globalizado, as responsabilidades do governo e do setor privado estão mudando continuamente e se sobrepõem cada vez mais. Organizações e empresas privadas estão trabalhando para obter mais proteção, aplicação e inteligência.

O significado de proteger uma empresa também muda, e as organizações precisam fazer três coisas:

• Concentrar-se nas coisas certas através da inteligência e da gestão de riscos para entender de onde os riscos estão vindo;

• Ser firme e robusta – ter sistemas de tecnologia difíceis de invadir e de causar danos;

• Ser operacionalmente ativa – para poder lidar com problemas quando surgirem.

Em resposta a esses objetivos, delineei cinco componentes críticos que podem ajudar sua organização a alcançar fortes medidas de segurança cibernética.

1. Entenda o risco cibernético inerente

Na Willis Towers Watson, nossos especialistas trabalham com empresas em todo o mundo para entender os riscos cibernéticos e o que é este risco inerente. Existem dois riscos principais contra os quais procuramos nos defender, que são tão fundamentalmente diferentes, que precisamos estar preparados com medidas para cada um:

• Um ataque cibernético externo, onde um hacker ou pessoa externa está invadindo e tentando comprometer os sistemas corporativos – muitas vezes são de natureza maliciosa e variam desde a negação de serviço, até o comprometimento da integridade de dados ou sistemas, até uma tentativa de hacking combinada com atividade de engenharia social.

• Uma violação de privacidade – às vezes o resultado de uma ameaça externa, mas muitas vezes conduzida por um funcionário interno que trabalha na rede. Quando causado por uma parte interna, estes são geralmente acidentais, entretanto também podem ser maliciosos.

O primeiro passo na defesa cibernética ativa é entender adequadamente essas ameaças, sua capacidade de proteção e quantificar a exposição de risco que você enfrenta. Isso permite que o investimento e a atividade sejam priorizados efetivamente.

2. Solidifique sua empresa de fora para dentro

Ser sólido significa ter um perímetro de rede com o objetivo de proteger contra ameaças externas, mas também precisamos começar a pensar em trazer isso para dentro. Nós temos que ser sólidos por completo, porque muitas ameaças hoje são internas e externas.

3. Constitua uma força de trabalho especialista em proteção cibernética

O treinamento, em muitos casos, precisa ser adaptado e incorporado na cultura da empresa, a fim de construir – e manter – uma força de trabalho especialista em proteção cibernética.

Este é um grande desafio porque estamos lidando com pessoas e nossos sistemas nem sempre são tão centrados nas pessoas quanto precisam. Então, para entender o risco e determinar qual o nível de controle e mitigação necessários, primeiro devemos conhecer o quão sólida nossa organização precisa ser, quão atentos precisamos ser e o que esses riscos significam para nós em cada grupo de partes interessadas internamente. O treinamento, em muitos casos, deverá estar adaptado e incorporado na cultura da empresa, a fim de construir – e manter – uma força de trabalho especialista em proteção cibernética.

Como especialistas em segurança, entendemos quais são as ameaças, de quem/onde elas estão vindo, a probabilidade do risco e o impacto que isso terá em nossa organização. Isso requer alguma quantificação, principalmente em uma área em que a segurança é menos madura. A forma tradicional de quantificar as coisas é olhar para o passado – qual é o impacto e como isso se relaciona hoje? Isso não funciona muito bem no campo cibernético.

Embora não tenhamos um histórico de quebras de segurança e eventos que possamos acompanhar durante um longo período, a partilha de dados e o crescente papel do governo estão começando a mudar isso. Além disso, precisamos quantificar melhor o impacto de uma quebra de segurança e considerar isto de forma holística em todos os grupos de partes interessadas, pois os impactos das pessoas estão mudando, bem como o papel e os regulamentos do governo. A Willis Towers Watson possui uma ferramenta de quantificação de risco cibernético que ajuda as organizações a quantificar esse risco.

4. O básico é mais difícil, mais importante e não o suficiente

Compreender a Inteligência Cibernética da sua organização é uma das primeiras defesas nesta batalha.

Compreender o gerenciamento de riscos – fazer o básico para proteger sua organização contra risco cibernético – está se tornando mais difícil porque o ambiente em que estamos trabalhando é mais complexo. Felizmente, estamos herdando algumas ferramentas novas que são imensos aceleradores para entender melhor os desafios tecnológicos da área. O básico é mais difícil, mais importante, e definitivamente não é suficiente. Nós não vivemos mais em um ambiente em que fazer o básico abrange todo o risco de segurança cibernética. Precisamos dominar esses conceitos e incorporar as novas tecnologias para mitigar da melhor forma possível o risco cibernético.

5. Não podemos remover o elemento humano

Hackers, e demais agentes maliciosos, não estão estruturados em sua abordagem. Eles não estão interessados em saber qual a tecnologia que temos para que eles possam entender como seu ataque pode ser interceptado. Eles estão interessados em descobrir como trabalhamos para que possam trabalhar em torno disso. Compreender a Inteligência Cibernética de sua organização é uma das primeiras defesas nesta batalha.

Inteligência Artificial é o futuro da proteção avançada. Há recursos lá fora que podem olhar além das regras e responder ao elemento humano, porque no início de uma ameaça, sempre há uma pessoa – então, você não pode tirar o elemento humano da equação.

Nossas organizações são complexas, mas nossos recursos ainda não chegaram lá. Precisamos ir além do treinamento de conscientização de segurança cibernética e testes de phishing. As organizações também precisam ter uma maneira de medir os comportamentos dos funcionários que criam vulnerabilidades e abordar as lacunas de talento e habilidades que serão necessárias à medida que a inteligência artificial se tornar mais prevalente.

Saiba mais sobre segurança cibernética compreensiva pela Willis Towers Watson.

Matt Palmer é Diretor de Segurança de Tecnologia e Informação na Willis Towers Watson.
DIREITOS AUTORAIS 2018 WILLIS TOWERS WATSON

Categories: Cyber Risk, Global Risks, Risco Cibernético, Tecnologia | Tags:

Leave a Reply

Your email address will not be published. Required fields are marked *