Faturar bitcoins, vender dados e até mesmo realizar pagamentos, ou transferências, usando o ERP das empresas são alguns dos métodos habilidosos de invasão promovidas por hackers atualmente. A periculosidade cresce se pensar que tais ações contra a organização podem ser feitas por qualquer agente, seja um estranho ou até mesmo um colaborador mal-intencionado.
Marco Ribeiro, líder da prática de gestão de risco de TI da consultoria Protiviti, explica que a situação é preocupante porque as motivações de ciberataques deixaram de ser apenas para ganhos financeiros para também prover danos físicos. Para alertar as empresas sobre os riscos de TI na identificação e correção de ataques por meio de uma auditoria baseada na gestão de vulnerabilidade, o executivo listou seis passos:
1. Mapear
A primeira medida preventiva é mapear a estrutura organizacional da empresa com atenção total para área de TI. O primordial nessa fase inicial é saber os motivos pelos quais os executivos acionam a área e conhecer todos os colaboradores e fornecedores, que têm passagens livres nos sistemas da companhia.
2. Raio X da segurança
Tendo este mapeamento em mãos, a segunda dica é saber como são executadas as atividades em Segurança da Informação. É pertinente nesse momento averiguar quais ações são inseridas nos processos de negócios da empesa.
3. Mensurar riscos
O terceiro passo é verificar se os riscos são medidos de acordo com o impacto ao negócio. E, principalmente, se há uma área da companhia dedicada à gestão de riscos.
4. Serviços definidos e catalogados
Aqui, é preciso apurar os serviços fornecidos pela TI e SI estão definidos e catalogados, assim como, se estão estabelecidos por meio de processos e procedimentos. Um adendo importante nesse estágio é saber se os controles são monitorados e se os eventuais incidentes são reportados aos responsáveis.
5. Você entende as vulnerabilidades?
Compreender as vulnerabilidades e os riscos que passam no ambiente de TI da empresa é fundamental. De que forma a infraestrutura, os sistemas e as informações são protegidas? Há rotina de testes técnicos e de seus controles na operação de TI? São as duas indagações-chave a serem feitas.
6. Como reportar os riscos ao board
Nesse caso, a consultoria orienta três ações básicas: consolidar as vulnerabilidades em riscos relacionados a TI; associar quais riscos estão ligados às demandas de negócios e operacionais; e manter um dashboard periódico com riscos e planos de mitigação.
A Populos Tecnologia em parceria com o Instituto Eurofarma, uma organização sem fins lucrativos fundada…
Terminou no domingo (05) o IT Forum Trancoso, edição que celebra os 26 anos dos fóruns…
A OpenAI encontra-se novamente no centro das atenções devido a preocupações crescentes com a privacidade…
Um caso antitruste em curso nos Estados Unidos revelou um acordo financeiro substancial entre o…
A Afya, empresa de educação e soluções médicas mineira, anunciou na semana passada a aquisição…
Uma pesquisa encomendada pela Hewlett Packard Enterprise (HPE) indica que quase metade (44%) dos líderes…