7 discussões difíceis sobre segurança de TI que todo líder de TI deve ter
A segurança está na mente de todo líder de TI, então por que não discutir as ameaças mais recentes e táticas de resposta
Falar pode ser barato, mas quando se trata de segurança de TI, conversas estratégicas com colegas, parceiros de negócios e outras partes relevantes podem ser inestimáveis.
O valor de abordar questões de cibersegurança por meio de discussões contínuas é obter alinhamento corporativo em estratégias eficazes e robustas, diz Roger Albrecht, Colíder da Unidade de Cibersegurança da empresa de pesquisa e consultoria em tecnologia ISG.
“Essas discussões garantem a integração das iniciativas de cibersegurança e requisitos de recursos nos objetivos e metas de negócios da empresa”, diz Albrecht. “As discussões abordam mudanças nas exigências regulatórias e de conformidade e revelam vulnerabilidades e ameaças para mitigação de riscos”.
Conversas estratégicas contínuas sobre a estratégia de segurança de TI devem abordar o risco cibernético da organização e chegar a objetivos estratégicos, ele diz. “Tais conversas (…) devem concluir com ações claras, benefícios, prazos e o orçamento e recursos necessários para fechar as lacunas”.
Para líderes de TI que buscam estabelecer uma estratégia de cibersegurança mais robusta, as seguintes sete perguntas são estímulos-chave para os tipos de conversas em profundidade sobre estratégia de cibersegurança que você deve estar tendo com colegas da alta administração, parceiros de negócios e equipe de TI.
Nossos sistemas estão adequadamente modernizados para segurança?
As organizações devem discutir maneiras de modernizar sua infraestrutura de tecnologia para suportar arquiteturas nas quais a segurança seja incorporada, não apenas adicionada, diz Phil Venables, CISO do Google Cloud.
Sistemas legados muitas vezes são intrinsecamente defeituosos porque não foram projetados para serem defensáveis da maneira como arquiteturas mais modernas – geralmente em nuvens públicas ou privadas – são. Venables observa que houve muitos casos na última década em que as empresas investiram profundamente em produtos de cibersegurança, mas não atualizaram sua infraestrutura de TI geral ou modernizaram sua abordagem ao desenvolvimento de software.
Leia mais: 6 sinais de que um gerente de TI está enfrentando dificuldades — e como ajudar
“Isso é equivalente a construir sobre a areia”, ele afirma. “Sem foco e investimento contínuos na modernização de TI, as organizações não serão capazes de perceber todos os benefícios dos avanços em segurança, deixando sua organização vulnerável a atividades maliciosas”.
Venables recomenda que as conversas sobre modernização devam ser realizadas em salas de reuniões, reuniões de liderança executiva e sessões de estratégia específicas das unidades de negócios.
“No final das contas, desde que as discussões estejam ocorrendo entre as partes interessadas certas e um plano de ação esteja sendo ativado, a organização está se preparando para o sucesso”, ele diz.
Estamos abordando cenários cibernéticos na medida necessária?
Rahul Mahna, Sócio e Líder de Serviços de TI Terceirizados na empresa de consultoria em gestão Eisner Advisory Group, acredita que a simulação de cenários com equipes e colegas da alta administração pode gerar insights úteis sobre segurança.
O que aconteceria, por exemplo, se o negócio de um cliente-chave fosse interrompido por um ataque cibernético? Quais seriam os próximos passos? “Esse tipo de planejamento de resposta a incidentes é extremamente valioso em nossas conversas com os clientes”, explica Mahna. Ele sugere que essas conversas sobre estratégia de segurança não devem ser uma discussão ocasional e única, mas uma série de conversas contínuas e periódicas.
Além das conversas regulares, Mahna recomenda realizar uma reunião anual focada em segurança, combinada com um teste de plano de resposta a incidentes, para manter os principais executivos e gestores atualizados sobre políticas, práticas e funções em evolução.
Planejar o que fazer quando ocorrer um ataque cibernético é um recurso incrivelmente valioso que deve ser qualificado e quantificado de maneira significativa em um livro de execução, aconselha Mahna. “Este livro deve ser compartilhado e disponibilizado para os membros designados da equipe de segurança para fornecer um caminho, para que, no caso de uma violação de segurança, um plano de resposta bem pensado possa ser executado com sucesso”.
Nós fomentamos uma cultura de segurança?
Os líderes definem o tom para a estratégia de segurança de TI de sua organização, diz Ryan Orsi, Líder Mundial de Parceiros de Segurança na Amazon Web Services. “Uma cultura de segurança, na qual os funcionários individuais se sintam capacitados para agir rapidamente dentro das diretrizes de segurança aprovadas, leva a ciclos de inovação mais rápidos, resultados de negócios mais rápidos e, em geral, clientes finais mais satisfeitos”.
Organizações que inspiram os indivíduos a inovar e agir rapidamente dentro de diretrizes de segurança bem definidas são as mais eficazes, diz Orsi. “Se você sentir que sua organização abre chamados para solicitar aprovações de sua equipe de segurança antes de publicar itens como atualizações de aplicativos, atualizações de sites e alterações em bancos de dados, você pode não estar operando com uma cultura de segurança”, ele adverte. “Ao integrar uma cultura de segurança na liderança, você provavelmente sentirá a diferença”.
Estamos realmente atualizados na avaliação de ameaças emergentes?
Os cibercriminosos nunca dormem; eles estão sempre maquinando e corrompendo. “Quando se trata de estratégia de segurança de TI, uma conversa muito direta deve ser realizada sobre a nova natureza das ameaças cibernéticas”, sugere Griffin Ashkin, Gerente Sênior na empresa de consultoria em gestão empresarial MorganFranklin Consulting.
A experiência recente demonstrou que os cibercriminosos agora estão indo além do ransomware e entrando na ciberextorsão, adverte Ashkin. “Eles estão ameaçando divulgar informações de identificação pessoal (IIP) dos funcionários da organização para o mundo exterior, colocando os funcionários em risco significativo de roubo de identidade”.
Ashkin acredita que os líderes de segurança devem se esforçar para realocar o máximo possível de recursos de infraestrutura locais, transferindo assim as responsabilidades de ciberproteção para provedores de nuvem. Além disso, conversas de gerenciamento programadas regularmente devem levar a decisões-chave, como investimentos potenciais em ferramentas de segurança aprimoradas, materiais atualizados de treinamento de conscientização em segurança, comunicação adicional com os usuários finais para conscientizá-los sobre as últimas ameaças de segurança e quaisquer outras etapas relevantes necessárias para abordar e mitigar o risco dos funcionários.
Temos um plano de resposta a incidentes verdadeiramente eficaz em vigor?
Toda empresa precisa realizar uma conversa focada na resposta a incidentes, recomenda Zachary Folk, Diretor de Engenharia de Soluções na empresa de cibersegurança Camelot Secure.
O planejamento é fundamental, diz Folk. As discussões devem incluir a equipe executiva da empresa, incluindo o CIO, CISO, CTO, o coordenador da equipe de resposta a incidentes e todos os chefes de departamento. As reuniões e conversas devem levar ao desenvolvimento ou atualização de um plano de resposta a incidentes, ele sugere. As discussões também devem revisar ativos de missão crítica e prioridades, avaliar o impacto provável de um ataque e identificar as ameaças de ataque mais prováveis.
Ao mudar a abordagem de gerenciamento de riscos da empresa de medição baseada em matriz (alto, médio ou baixo) para redução quantitativa de riscos, você está baseando o impacto potencial real em quantas variáveis forem necessárias, diz Folk. “Usando simulações simples de Monte Carlo e dados coletados de sua empresa, você pode fornecer aos membros da alta administração uma probabilidade real de perda, ocorrência potencial e impacto”.
Estamos obtendo o máximo retorno sobre o investimento em segurança?
É hora de parar de fugir das conversas sobre ROI em segurança, afirma Brian Contos, CSO na empresa de visibilidade de ativos de TI e cibersegurança Sevco. As empresas investiram pesadamente em CMDB, SIEM, SOAR, EDR, gerenciamento de vulnerabilidades e soluções relacionadas, observa ele.
“Para obter valor com essas soluções, as empresas precisam garantir que as informações que fluem para elas, como inteligência de ativos, sejam oportunas, precisas e deduplicadas”, diz ele. Uma inteligência de ativos sólida dentro de soluções de segurança de classe empresarial não apenas o ajudará a mitigar melhor o risco, mas também melhorará o ROI desses investimentos.
A conversa sobre ROI deve resultar em uma melhor visibilidade para as equipes de segurança, operações de TI e GRC (governança, risco e conformidade) em seu ambiente, diz Contos. Deve se concentrar em tudo que é bom e ruim, identificando as áreas que requerem melhorias mais rápidas. Ações prioritárias podem então ser atribuídas às equipes apropriadas para abordar tópicos como licenciamento, melhoria de processos, busca por vulnerabilidades, visibilidade de controles de segurança e regulamentações.
“No final das contas, mitigar o risco e maximizar o ROI devem se combinar quando a inteligência de ativos é utilizada para enriquecer a eficácia das ferramentas existentes focadas em segurança, operações de TI e GRC”, ele aconselha.
Qual é a verdadeira extensão da nossa exposição financeira?
Talvez a conversa mais crítica sobre estratégia de segurança de TI se concentre em responder a uma única pergunta: “Qual seria a perda financeira que nossos clientes enfrentariam se nossos sistemas de TI fossem desativados?”
O objetivo dessas discussões deve ser estabelecer um ambiente de TI seguro, robusto e resiliente, no qual os clientes possam ter certeza de que permanecerá operando, permitindo a entrega de produtos e serviços sem interrupções, diz Rob Fitzgerald, CISO de campo na empresa de serviços gerenciados e estratégia de TI Blue Mantis.
Essa conversa deve ocorrer no mínimo anualmente, e idealmente antes da temporada de orçamento para que o CIO e o CISO possam planejar adequadamente, aconselha Fitzgerald. Se ocorrerem eventos importantes que afetem o negócio, uma conversa precisa ocorrer durante esses momentos também, diz ele. “Por exemplo, se uma organização vai vender uma divisão ou adquirir outra organização, o CIO e o CFO têm a obrigação fiduciária de reavaliar a perda fiscal que os clientes enfrentariam caso os sistemas de TI das organizações se tornassem indisponíveis”.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!