Orçamento de Segurança da Informação: entenda os principais desafios

Começamos com uma pergunta: será que você está alocando seu orçamento de segurança da informação da melhor maneira?

Se você concentrar a maior parte de seus investimentos de segurança em seu perímetro de rede e deixar de lado a segurança de aplicações e o gerenciamento de identidades, por exemplo, é bem possível que suas prioridades estejam erradas.

Isso porque as aplicações web comprometidas são a fonte nº 1 de violações. O grande problema disso é que mais de metade das empresas (51%) investem até 5% (ou menos) de seus orçamentos de TI em segurança de aplicações.

Além disso, há a questão das identidades dos usuários. Afinal, identidades comprometidas são a causa número dois entre as violações mais comuns.

Apesar das estatísticas, a maioria das empresas ainda investem grande parte de seus orçamentos de segurança em proteções de perímetro de rede. Ou seja, depositam toda a confiança em um firewall.

Se a sua empresa se encaixa nesse perfil, você deveria ficar bem preocupado.

Seu perímetro de rede pode ser amplamente imaginário

Devido à ascensão em dispositivos móveis e à proliferação de aplicações baseadas na nuvem, seu perímetro é, provavelmente, bastante poroso.

Agora você tem centenas, talvez até milhares de usuários vulneráveis localizados em todo o mundo, acessando seus dados e usando uma ampla gama de aplicações em dispositivos na maioria das vezes desprotegidos.

Você sabe quantas aplicações são baseadas na nuvem? Quatro em cada cinco organizações hospedam aplicações na nuvem e 20% planejam entregar mais da metade de suas aplicações através nuvem ainda neste ano de 2017.

Até 2018, terão mais de 12 bilhões de dispositivos móveis em uso em todo o mundo, e cada usuário de negócios terá dois dispositivos móveis utilizados regularmente.

Com seus apps hospedados em qualquer lugar e seus usuários se conectando a partir de qualquer dispositivo, seu perímetro tradicional acaba de explodir.

Depois, há o fato de que o gerenciamento de identidade e acesso está se tornando mais complexo. Se suas aplicações estão on-premises, em sua nuvem privada ou pública, ou são software-as-a-service (SaaS), todos eles precisam de autenticação.

A empresa média possui 700 aplicações em uso. Seus usuários finais têm fadiga de alternar as senhas, e a equipe de TI está lutando para gerenciar a expansão e o acesso da identidade.

O fato é que, se os cibercriminosos se encontrarem bloqueados em sua rede, eles simplesmente irão roubar a identidade de um usuário que possui acesso ou se infiltrarão em um aplicativo web vulnerável.

Ou seja, toda a natureza da segurança mudou.

4 etapas para reorientar seu orçamento de segurança da informação

Quer saber o que você pode fazer diante desse cenário? Siga esses quatro passos!

Passo 1. Priorize o que você precisa proteger

Aplicações desenvolvidas ou implantadas oficialmente pela equipe de TI são relativamente fáceis de se corrigir, mas não se esqueça de verificar as aplicações SaaS que são muitas vezes ignoradas.

Em seguida, identifique todas as aplicações chamados de “Shadow Apps” que estão sendo usados pelos seus funcionários e avalie os principais riscos para sua organização. Eles não serão fáceis de se encontrar.

Você pode entrevistar suas unidades de negócios, revisar os logs de seu software de filtragem da web e revisar contratos legais assinados com provedores de SaaS, o que é um processo muito manual e (muitas vezes) demorado.

Ainda assim, você deve priorizar as aplicações para que você consiga identificar e proteger aqueles que o tornam mais vulnerável.

 

Passo 2. Confira o alinhamento entre orçamento e ameaças 

Para onde está indo seu orçamento de segurança? Se você achar que o conselho está mais focado em compliance e está pecando nas vulnerabilidades mais críticas associadas a expansão das aplicações e identidades, comece a construir o seu caso.

Documente suas descobertas para que você seja capaz de identificar áreas onde as despesas estão inferiores ou superiores ao necessário.

Passo 3. Comunique suas descobertas

Apresente suas descobertas a administração e ao conselho. Explique as lacunas que existem entre os investimentos em cibersegurança, hoje, e o que mais precisa ser protegido.

Faça recomendações específicas e esteja bem preparado para apresentar uma análise de custo-benefício dos investimentos recomendados para obter o orçamento que você precisa.

É provável que você precise investir pesado em soluções de gerenciamento de identidade e acesso, gerenciamento de segurança de aplicações e soluções avançadas de firewall.

Passo 4. Implemente controles e mostre como você está gerenciando ameaças

Documente e controle como você está usando o investimento que você receber, e faça relatórios periódicos para o quadro executivo sobre o seu progresso.

Ainda assim, é muito provável que você sofra um ataque, então faça algum seguro cibernético e terceirize serviços de resposta à incidentes  para entrar em ação e reduzir os danos em caso de violação.

Apresentando segurança e risco ao quadro executivo

Agora chegou a hora de “vender” a sua proposta para o quadro executivo. Portanto, a etapa de apresentação é muito crítica: a segurança de sua empresa, a reputação e saúde financeira dependem de você.

Os membros da diretoria precisam entender os riscos de negócios que você enfrenta e como você planeja mitigá-los. Mas o tempo – e a atenção – deles é limitado. Portanto, seja objetivo, e se atenha ao que realmente importa.

O conceito de Business-Driven Security é fundamental nesse momento. O termo foi cunhado pela RSA durante a edição desse ano da RSA Conference e sua proposta é orientar a área de segurança da informação à área de negócios da empresa.

Isto é, conectar o contexto de negócio com as atividades das ameaças para ganhar agilidade e eficiência na defesa aos riscos de cibersegurança.

Para que você atinja seus objetivos, recomendamos estes 4 passos 😉

1) As ameaças cibernéticas são reais: se atenha aos fatos

Eles ouviram os números: em 2015, US$ 400 bilhões foram perdidos para o cibercrime. Bocejo geral. Informações como estas não prendem o espectador, pelo menos não sem um referencial.

Que tal comparar os investimentos em segurança da informação em contrapartida aos prejuízos financeiros causados pela indústria do cibercrime?

Se o cenário está ruim hoje, a previsão é muito mais assustadora, de acordo com o Cybersecurity Ventures.

A camada executiva precisa entender os riscos gerais de se fazer negócios em tempos de digitalização e entender as ameaças que enfrentam sua indústria.

Se o maior risco de sua organização está relacionado à falta de controles ou processos inadequados, eles precisam saber disso.

Mais importante ainda, eles precisam saber o que você está fazendo sobre isso. Não vá para a diretoria com problemas para os quais você ainda não descobriu as soluções.

Portanto, conte uma história (que gere empatia) sobre uma violação de segurança, de preferência na sua indústria.

Dê exemplos da sua própria empresa. Identifique ativos críticos de informações – propriedade intelectual, dados confidenciais de clientes – e pinte um quadro do que aconteceria e o quanto custaria se eles forem comprometidos.

2) Forneça métricas que convençam

Se você tem lacunas no controle de segurança, é preciso deixar bem claro o porquê disso. A melhor maneira de fazer isso é provando que sua empresa está constantemente sob ataque, que suas redes são alvos recorrentes.

Deixe claro que, mais cedo ou mais tarde, os criminosos terão sucesso.

3) Consiga o apoio deles na adoção de uma cultura de segurança

O erro humano é responsável por 56% das violações cibernéticas. Um negócio seguro é um negócio em que todos são minimamente educados sobre as ameaças digitais e que fazem a sua parte para reduzir o risco.

Isso começa com treinamento rigoroso e repetitivo, como simulações de e-mails de phising. Para isso, existe soluções de educação do usuário que atendem muito bem esse tipo de necessidade. Uma delas é a PhishX com seu grande portfólio de templates extremamente semelhantes aos samples de phishing que circularam pela web.

Outra alternativa seria o compromisso com um padrão de boas práticas como as normas da ISO 27001, por exemplo. Se quiser saber um pouco mais sobre certificações de segurança da informação, você pode conferir no blog post aqui.

Criar uma política de segurança da informação também é outra excelente forma de aumentar o nível de maturidade da sua corporação. Afinal, um artefato como esse ajuda muito a subir a régua da empresa em relação às boas práticas de segurança da informação.

4) Convença-os de que eles precisam de ajuda para resposta a incidentes

Incentive o conselho a enfrentar os fatos de frente: todas as organizações hoje enfrentam a possibilidade muito real de que serão violadas. A pergunta deixa de ser “se eu for invadido” e sim “quando eu vou ser invadido”.

Quanto dano você sofre depende do quão rápida e eficaz é a sua resposta, então por que não se preparar? A maioria das empresas não tem a expertise necessária para responder a incidentes críticos de segurança de forma adequada.

Sua melhor aposta: um terceiro o devido know-how no assunto. Uma boa empresa de resposta a incidente te ajudará nessa iniciativa.

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *