Segurança cibernética: 5 lições básicas para todos

Recentemente tivemos a oportunidade (uma oportunidade bastante divertida e interessante) de visitar diversos congressos de Segurança da Informação e Segurança Cibernética.

Durante esses congressos, fomos inundados com desenvolvimentos relativamente 'novos', como Next-Generation, IoT (Internet of Things), IoT DDoS, Security Intelligence Platform, etc. O fato de alguns desses termos terem se tornado 'exageros' não é em si um problema, mas começamos a nos perguntar se o mundo da segurança pode estar vendo as coisas da maneira errada e, portanto, perdendo as demandas que precisam ser atendidas.

 

Neste artigo, vamos sugerir uma nova maneira de olhar para a segurança cibernética que deixa de vê-la como um objetivo em si mesma e, em vez disso, como algo que está diretamente conectado às necessidades dos negócios. Da forma como está agora, parece que muitas organizações de segurança estão errando o alvo.

 

A segurança pode ser bastante complexa, mas sua essência é bastante simples. Segurança nada mais é do que reduzir ou eliminar riscos e torná-los visíveis para que a empresa possa aceitá-los e continuar fazendo seu trabalho - nada mais, nada menos. Para fazer isso da maneira mais eficaz e eficiente possível, nós, como pessoal de segurança, temos que entender o negócio e não vê-lo apenas de uma perspectiva de TI, mas formar a perspectiva mais ampla do próprio negócio.

 

Ao começar no negócio, primeiro temos que identificar, mapear e categorizar os riscos para o negócio específico. Em segundo lugar, temos que determinar, junto com o próprio negócio, quais riscos precisam ser tratados e em que ordem. Quando isso for feito, a pessoa responsável pela segurança dentro da empresa deve definir um plano de segurança que descreve como essas mudanças são executadas. Ao fazer isso, sempre deve haver metas e prazos claros. Idealmente, isso deve ser feito de uma forma 'inteligente', um passo de cada vez, para não se envolver em muitos projetos ao mesmo tempo.

 

Lição 1: Comece com o negócio (e seus riscos)

 

 

Definir sua abordagem de segurança (ou roteiro de segurança) é essencial e deve ser discutido com sua empresa continuamente para fazer ajustes onde e quando necessário. Durante a elaboração e execução do roadmap, os projetos definidos contribuirão para a redução dos riscos e cumprimento do objetivo final. É importante não perder de vista os objetivos do negócio, pois os responsáveis ​​pela segurança não devem 'restringir ou obstruir' o negócio com medidas de segurança. Não é ciência de foguetes e não deve ser tratado como é. A criação de um plano deve ser algo que todos, mesmo sem conhecimentos de TI, possam entender. Claro que a TI desempenha um papel, mas apenas no último momento, quando as soluções de TI são necessárias para a execução dos projetos de segurança.

 

Lição 2: Determine um roteiro de segurança com um objetivo claro, passo a passo

 

Olhando para os congressos dos quais participamos, percebemos que a maioria das organizações nem mesmo possui medidas básicas de segurança em vigor, muito menos soluções de segurança de próxima geração ou IoT. As apresentações de empresas de segurança sobre soluções de próxima geração e desenvolvimentos de IoT costumam ter uma aparência impressionante e oferecer conteúdo interessante, mas estão simplesmente muito à frente para a maioria das empresas. Além disso, a experiência mostra que a maioria dos hacks (cerca de 90%) ainda usa os métodos e pontos fracos mais simples: e-mails de phishing, anexos de malware e engenharia social. E, claro, existe o elo mais fraco de todos: o ser humano.

 

As empresas precisam primeiro criar soluções básicas de segurança para esses riscos simples antes de voltarem sua atenção para as soluções de segurança de IoT e de próxima geração. Claro, eles também são importantes e devem ser implementados no futuro, mas somente depois que o básico for coberto. Freqüentemente, durante os congressos de segurança, há um foco em ameaças sofisticadas e APTs (ameaças persistentes do avanço), mas empresas como TalkTalk e Ashely Madison podem ter sido protegidas de ataques mesmo se a segurança básica estivesse em vigor.

 

Lição 3: cubra o básico antes de implementar soluções de próxima geração

 

Novos desenvolvimentos surgem rapidamente e grupos e indivíduos mal-intencionados estão usando ataques e táticas mais variados e avançados. Eventualmente, as soluções de segurança de IoT e de próxima geração se tornarão inseparáveis ​​dos roteiros de segurança mais amplos de nossas organizações. No entanto, a fundação tem que estar no local antes que a 'casa' possa ser construída. E para construir esta casa é necessária uma cooperação entre o arquitecto, o corretor de imóveis, o pedreiro, o estucador e, claro, o proprietário.

 

Essa sensação de construir algo juntos, passo a passo, é exatamente o que precisa acontecer no mundo da segurança. Temos que cooperar intensamente porque, assim como na construção de uma casa, não existe um único proprietário ou arquiteto que seja o melhor em alvenaria, pintura ou construção. Nenhuma empresa de segurança tem a melhor solução para todos os riscos à segurança, portanto, trabalhar em conjunto é fundamental. Aqueles que podem causar danos à sua empresa já estão fazendo isso, então é hora de os profissionais de segurança fazerem o mesmo. Precisamos começar com o proprietário (o negócio) e a base (o roteiro) e, em seguida, estabelecer relacionamentos com os contratantes certos (fornecedores de segurança). Só então uma casa forte, confiável e segura pode ser construída.

 

Lição 4: Construir as parcerias certas; a cooperação entre profissionais de segurança de TI é essencial

 

Resumindo, para progredir com a segurança, é preciso haver compreensão e suporte da empresa e vice-versa. O responsável pela segurança deve ser capaz de fornecer explicações curtas e claras para que todos os diferentes stakeholders da empresa participem. Se ele não puder, a empresa (e o conselho) nunca entenderá e não haverá a adesão e o apoio necessários para implementar seus planos (não importa o quão bons eles sejam). Como Einstein disse uma vez, 'se você não consegue explicar de maneira simples, não entende bem o suficiente!'

 

Lição 5: Envolva todos, é o único caminho para o sucesso

 

 

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.


Strong

5136 Blog posts

Comments