3 DICAS PARA PRIORIZAR O INVESTIMENTO EM SEGURANÇA

Uma questão que muitos líderes de segurança e de negócios estão explorando é como utilizar o orçamento de segurança da informação de forma eficaz.

Será que um líder de segurança pode tornar-se clarividente e desenvolver um orçamento de segurança que proteja sua organização mesmo sem saber onde o próximo ataque pode se desdobrar?

Sim, é possível. Confira algumas boas práticas para melhor priorizar o investimento em segurança!

1. Fale a mesma língua do negócio e do conselho

Entender como sua empresa gera receita, qual seu carro-chefe, é fundamental para o desenvolvimento de seu orçamento de segurança. Parece simples, no entanto, muitos gerentes de segurança têm relações tensas com líderes empresariais dentro de suas respectivas organizações.

Entender os fluxos de receita de sua organização é fundamental para entender ‘o que precisa ser protegido’ de uma perspectiva de cibersegurança.

Como líder de segurança, você deve mapear seu orçamento e projetos para proteger seus fluxos de receita, além de criar novos. Se você não consegue mapear um projeto ou investir com esses conceitos em mente, não vale a pena fazer.

2. Os frameworks de segurança ajudam a criar conversas empíricas

Os frameworks de segurança estão crescendo em importância no momento que os líderes de segurança reconhecem que o uso de compliance como a principal maneira de vender investimentos de segurança para os executivos da empresa baseia-se mais em emoção do que em dados empíricos reais que suportam a história.

A eliminação da emoção da conversa e a implantação de uma abordagem empírica para um orçamento de segurança da informação é fundamental para o sucesso.

3. Expanda seu orçamento para segurança do negócio

Para repriorizar os orçamentos, os líderes de segurança devem se enraizar em todos os aspectos dos processos de negócios e entender o ciclo de vida de receita de seus negócios e como ele interage com o ciclo de vida dos ciberataques.

Os ciberataques acontecem em cinco estágios: pesquisa, infiltração, descoberta, captura e exfiltração de informações. Líderes de negócios – incluindo o líder de segurança – precisam considerar todos os cinco antes de decidir onde investir fundos.

Como uma indústria, gastamos muito tempo falando sobre os atores individuais envolvidos em um ataque cibernético. No entanto, o verdadeiro foco deve estar no fato de que todos esses atores estão participando de um mercado altamente lucrativo, que é o mercado do cibercrime.

A indústria do cibercrime movimenta bilhões de dólares anualmente.

Segundo a Cybersecurity Ventures, os investimentos globais com produtos e serviços de cibersegurança será de um pouco mais de 1 trilhão de dólares entre 2017 e 2021. Em contrapartida, estima-se que o custo do cibercrime será de 6 trilhões de dólares só em 2021.

Em contraste ao crescimento gritante do cibercrime, o mercado de TI cresce a passos lentos. De acordo com os dados do Gartner, o mercado de TI deve crescer significativamente de 2015 para 2017, alcançando um valor de US$ 2,77 trilhões, mas ainda muito irrisório se comparado ao cibercrime.
O mercado de Segurança da Informação, por outro lado, é menor ainda. De acordo com a Forrester Research, estima que esse mercado vai crescer de US$ 75 bilhões, em 2015, para 120, em 2017, e 170 em 2020.
Resumindo a ópera: a menos que o mercado desenvolva e adquira a maturidade necessária para enxergar segurança de uma outra forma, o cibercrime vai gerar prejuízos inimagináveis. 

Conclusão

A realidade é que os atacantes irão eventualmente entrar e, no entanto, a maioria dos líderes de segurança gasta a maior parte do seu orçamento tentando impedir o atacante de entrar em vez de investir em outras fases do ciclo de vida do ataque.

Deslocar investimentos para ganhar inteligência de sistemas e investindo em pessoas para detectar e interpretar atividades maliciosas e padrões anormais de negócio aumenta a consciência organizacional sobre as atividades da sua rede, e assim prevenindo ataques bem-sucedidos.

Sabendo diferenciar o normal do anormal antes da exfiltração de informação mantém o negócio rodando, e esse é o tipo de investimento de segurança que a organização e o conselho vão querer fazer.

GOSTOU DO NOSSO ARTIGO E QUER SABER MAIS? CONFIRA NOSSOS MATERIAIS 😉

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *