Conscientização de segurança.

Com a enxurrada constante de manchetes sobre violações nos últimos anos, parece que a sociedade em geral se tornou insensível à perda de dados pessoais. O tema abrangente de segurança cibernética deste ano é claro: Estamos todos juntos nisso porque simplesmente não podemos fazer isso sozinhos. A defesa eficaz exige um esforço de equipe em que funcionários, empresas e usuários finais reconheçam sua função compartilhada na redução dos riscos de segurança cibernética.

Para usar uma frase: “Se não somos nós, então quem? Se não agora, então quando? por John Lewis. Aqui estão algumas dicas para melhorar seu gerenciamento de risco cibernético este ano.

Dica nº 1: equilibre risco e recompensa.

A chave é equilibrar riscos e recompensas, tomando decisões informadas sobre gerenciamento de riscos que estejam alinhadas com os objetivos de sua organização - incluindo seus objetivos de negócios. Este processo requer que você:

• Atribuir responsabilidades de gerenciamento de risco;
• Estabeleça o apetite e a tolerância ao risco de sua organização;
• Adotar uma metodologia padrão para avaliar o risco e responder aos níveis de risco; e
• Monitore o risco continuamente.

Dica nº 2: use seus investimentos com sabedoria.

Ao determinar a melhor estratégia para futuros investimentos cibernéticos, é vital que você analise a postura de segurança atual da sua organização e os controles de segurança existentes, incluindo tecnologia, pessoas e processos. Antes de fazer novos investimentos, execute uma revisão da arquitetura e do programa para entender como os controles existentes podem ser utilizados para lidar com os riscos identificados. Quase sempre há maneiras de otimizar, reduzir custos ou minimizar investimentos futuros.

Dica nº 3: seja ágil; certifique-se de que sua estratégia pode se adaptar rapidamente.

Os negócios não são estáticos, nem as soluções que os habilitam e protegem. Para crescer, competir e conquistar seu lugar no mercado, uma empresa deve adotar novos modelos e tecnologias para se manter relevante e competitiva. À medida que o negócio evolui, o mesmo ocorre com as operações e as soluções de segurança que o protegem. Hoje, uma estratégia de segurança cibernética precisa ser ágil para corresponder ao ritmo e à modelagem dinâmica dos negócios que está protegendo.

Dica # 4: não perca os dados de vista - você está fazendo as perguntas certas?

Antes de analisar seus controles de segurança, dê um passo atrás para entender quais dados são necessários para dar suporte ao negócio, com quem esses dados devem ser compartilhados e onde esses dados são armazenados. Observe suas operações, o fluxo de dados dentro, em toda e fora da sua organização e os riscos associados ao seu modelo de negócios. Isso lhe dará uma compreensão das exposições que os dados enfrentam, permitindo que você direcione e priorize medidas de segurança. As três perguntas que a maioria das organizações deve fazer são:

1. Quão seguros estamos?
2. Estaremos seguros com base em nossos planos de negócios atuais e futuros?
3. Estamos investindo a quantidade certa de tempo e recursos para minimizar os riscos e garantir a segurança - especialmente pessoas, tecnologia e processos?

Dica nº 5: imagine sua abordagem de segurança; não vá procurar a bala de prata.

O mercado de segurança cibernética está inundado de soluções, deixando muitas organizações lutando para selecionar a proteção certa para seus negócios e obter o melhor valor de seus investimentos. A maioria das soluções de segurança cibernética, no entanto, são soluções pontuais, que não abordam adequadamente as ameaças atuais.

Dica # 6: faça stick de conscientização de segurança.

Mais de 90 por cento das violações de segurança envolvem erro humano. Esses atos nem sempre são maliciosos, mas frequentemente descuidados e evitáveis. Para mudar o comportamento de segurança de forma eficaz, os funcionários devem saber o que fazer, se preocupar o suficiente para melhorar e, então, fazer o que é certo quando for necessário. Um programa de conscientização de segurança eficaz pode ajudar a mudar o comportamento organizacional e reduzir o risco. Procure as melhores práticas para implementar um programa de treinamento de conscientização de segurança bem-sucedido para mudar o comportamento dos funcionários e ajudar a tornar sua organização mais segura. Considere as respostas às seguintes perguntas:

• O programa avalia a capacidade dos usuários de detectar ataques de phishing do mundo real?
• Como o treinamento é fornecido para ajudar os funcionários a identificar phishing e outras táticas de engenharia social?
• Existe flexibilidade para planejar, agendar e executar o programa?

Dica # 7: pense além da conformidade .

Alcançar a conformidade não é o objetivo final, mas sim manter a conformidade. Segurança e conformidade não são iguais. O gerenciamento de conformidade não é um projeto que você inicia e termina, mas sim um programa contínuo que precisa ser mantido continuamente. Para tornar a jornada mais fácil, siga uma estrutura de gerenciamento de risco e conformidade integrada que aborda segurança, privacidade, risco e conformidade, como a estrutura do Instituto Nacional de Padrões de Tecnologia (NIST). Isso garante um programa mais gerenciável e permite que você relate a postura de conformidade com mais eficiência.

Sobre o autor: Bindu Sundaresan

Líder de Prática de Soluções de Segurança, AT&T, Bindu Sundaresan é Líder de Prática de Soluções de Segurança Estratégica da AT&T. Ela é atualmente responsável por aumentar as competências de consultoria de segurança e integração com os Serviços AT&T e Ofertas de Produtos. A Bindu é uma PME de segurança (especialista no assunto) com julgamento e experiência para dimensionar e personalizar soluções de segurança da informação que acomodam e permitem o crescimento dos negócios. Ela trabalhou para estabelecer a visão empresarial, estratégias e programas para empresas Fortune 50 para garantir a confidencialidade, integridade e disponibilidade de ativos de informação - protegendo e aprimorando fluxos de receita multimilionários / bilhões de dólares.