A estratégia de segurança cibernética deve começar com o entendimento da maturidade da empresa em termos de segurança operacional, de processos e financeira.
A quantidade de desafios que um Gestor de Cibersegurança deve enfrentar não é novidade para ninguém. Vimos um aumento nas vulnerabilidades incomuns que foram combinadas com ameaças mais avançadas, complicadas e direcionadas, dependendo do objetivo que o invasor deseja perseguir. Neste momento é possível encontrar “serviços” de “Ransomware as a Service” e, como se não bastasse, a lacuna nos profissionais de cibersegurança está a aumentar, deixando as plataformas sem as necessárias salvaguardas e integração com outras tecnologias.
Com isso, o gestor de cibersegurança não consegue ter visibilidade real do ambiente que deve ser protegido, dificultando a implantação de controles, métricas e mantendo-se em conformidade com normas e legislações como a LGPD (Lei Geral de Proteço de Dados) mais difícil. Com a lei ganhando força, as empresas podem sofrer danos à marca, perdas financeiras, roubo de propriedade intelectual e perda de dados pessoais no caso de uma violação bem executada.
Nos últimos anos, tenho visto como a falta de uma boa estratégia e um plano focado tem dificultado a “Jornada de Cibersegurança”. O uso de tecnologia e serviços é fundamental no mundo atual, mas deve ser feito de forma correta e pontual.
A estratégia de cibersegurança deve começar com o entendimento da maturidade da empresa em termos de segurança operacional, de processos e financeira. A definição e gestão de riscos são componentes fundamentais do processo, pois dão visibilidade aos riscos que a empresa está preparada para aceitar e tratar adequadamente por meio de um plano que deve estar alinhado com a evolução necessária do negócio. Atualmente, planos tecnológicos que impedem ou complicam a operação de uma empresa não têm espaço e não são considerados pelos executivos.
É fundamental iniciar uma metodologia de segurança cibernética que cubra todo o ciclo de vida, selecionando padrões globais como NIST e ISO/IEC 27001 e adicionando padrões específicos do setor. Por exemplo, o NERC-CIP é focado em serviços públicos, o ISA/IEC 62443 é focado em automação e o PCI-DSS é focado em indústrias de pagamento, entre outros. Não se esqueça das abordagens de proteção de dados pessoais, como a LGPD e a GDPR. (Regulamento Geral de Proteção de Dados). Normas que aumentam a visibilidade do risco, como ISO/IEC 31000 e ISO/IEC 27005 com medição de maturidade, como CMMI e C2M2, não devem ser negligenciadas.
Gosto particularmente do método que a SABSA (Sherwood Applied Business Security Architecture) emprega porque, além de focar em riscos e segurança, incorpora como premissa uma abordagem de negócios. Isso é muito interessante porque permite pensar em ações específicas para cada tema abordado, impactando o mínimo possível o negócio.
Temas como Visão de Negócios e Estratégias de Segurança não devem ser esquecidos na abordagem, pois são uma etapa essencial para entender como os executivos abordam esse assunto. Eles te apoiam? Você tem algum investimento? Existem diretrizes? A estratégia está bem definida e amplamente divulgada? Outras questões, como políticas, processos, conformidade, diretrizes, procedimentos, políticas e responsabilidades, modelos de domínio de segurança e classificação de dados também devem ser abordadas ao discutir a segurança da informação.
Outro ponto que precisa ser ampliado é a gestão de riscos, que inclui desde o tratamento de ameaças e vulnerabilidades até a garantia, compliance, legislação, atividades e operações de negócios. Isso facilitará a tomada de decisões sobre mitigação de riscos, transferência de riscos e aceitação de riscos.
Em tecnologia, a questão não é se existe ou não uma plataforma específica, mas como essa plataforma é posicionada, configurada e dimensionada. Os aplicativos são seguros? Existe gerenciamento de vulnerabilidade? Além de entregar o status das atividades e aplicações, este mecanismo pode ser utilizado para complementar o catálogo de atividades da empresa.
Lembre-se que é impossível aplicar controles e boa segurança a algo que não temos visibilidade ou conhecimento. Existem mecanismos que garantem pelo menos níveis adequados de segurança por meio da validação de acesso, controles de informações e uso de aplicativos permitidos. O comportamento dessas aplicações em termos de tráfego e comunicação deve ser considerado.
Algumas questões fundamentais em segurança de dados incluem monitoramento da integridade de documentos, criptografia de dados (tanto em trânsito quanto em repouso), controle e gerenciamento de certificados, classificação de informações para aplicação de controles de segurança apropriados e mapeamento de dados para auxiliar na Dúvidas LGPD.
Proteger endpoints e dispositivos móveis, bem como ter um bom controle sobre o aplicativo de correção com prazos predefinidos e ambientes de teste, pode ajudar nos processos de linha de base/fortalecimento. Plataformas para detecção e proteção de ameaças, bem como controle de postura de endpoint, são importantes, mas não resolvem todos os problemas, principalmente se não forem utilizadas autenticação, controle de chaves, acesso restrito e autenticação multiestágio (MFA – Multi Factor Authenticator). .
Controles robustos na infraestrutura, seja elas On-premises ou em Cloud, que vão destes acessos e permissões do que está hospedado ou conectado – uma vez que hoje em dia não há mais o conceito do perímetro -, também são cruciais, considerando os vários casos de acessos não autorizados e fugas ocasionados por descuido que, muitas vezes, com processos e revisões, poderiam ter sido previstos.
O suporte para detecção, gerenciamento e resposta a ameaças está disponível por meio de uma variedade de plataformas e serviços disponíveis no mercado hoje, incluindo SOAR, Threat Intell, SOC como serviço, Cyberdeception, Honeypots e CSIRT. Ao discutir as operações de segurança cibernética, é necessário avaliar como o gerenciamento de acesso, gerenciamento de mudanças, gerenciamento de incidentes, gerenciamento de configurações e patches, gerenciamento de eventos e vulnerabilidades e gerenciamento de vulnerabilidades são tratados dentro da empresa.
As operações de cibersegurança são críticas porque conectam e validam todas as políticas e processos desenvolvidos em conjunto com as tecnologias e plataformas implementadas. Em outras palavras, não é possível operar apenas com bons documentos, políticas e processos sem ter tecnologia para dar suporte e proteger o ambiente de uma organização. Da mesma forma, se apenas tecnologias e processos forem usados sem uma operação coordenada, os resultados serão inferiores. Essa abordagem evita o esgotamento de recursos (que já é um problema), permitindo um melhor uso do orçamento para segurança cibernética, além de um aumento notável na eficiência operacional.
Com essa abordagem, CISOs e TIs poderão ter visibilidade de todo o ciclo de vida da cibersegurança por meio de um roadmap focado em processos e tecnologias com priorizações de projetos, permitindo um progresso natural levando em consideração a capacidade operacional da empresa, orçamento disponível, benchmark, domínio operacional , Leis e regulamentos.
Tudo está relacionado a Riscos Mapeados e Nível de Maturidade em Cibersegurança. Atualmente, uma abordagem que falha em reunir Riscos e Maturidade para o desenvolvimento de uma Estratégia de Segurança Cibernética falhará em cobrir todos os GAPs e planos de mitigação na criação do projeto.
