No Brasil é comum encontrarmos empresas que mal disponibilizam budget para a área de segurança da informação. Sem um orçamento real, os líderes de segurança não podem comprar ferramentas, como firewalls, softwares de SIEM e outros controles de segurança.

No entanto, CSOs podem fazer muito pela segurança de suas empresas mesmo com pouco acesso a soluções mais sofisticadas e a resposta não é o open source, mas uma abordagem mais básica para controles de segurança e arquitetura.

Mudanças na arquitetura podem significar um processo difícil que pode gerar uma série de empecilhos por parte do CIO e da equipe de infraestrutura, principalmente quando falamos de aplicações que dependem de regras antiquadas de firewalls.

Porém, existem vários métodos que envolvem a arquitetura e que são capazes de causar poucas batalhas entre o time de segurança e de infraestrutura, além de serem de baixo custo e fazer com que o CSO seja visto como alguém flexível para os negócios. Conheça:

É impossível bloquear tudo só com soluções de segurança

Nenhuma empresa é capaz de se bloquear completamente contra as ameaças, independente do quanto suas ferramentas sejam avançadas. Aumentar o número de soluções de segurança vai dificultar a vida dos hackers e diminuir a velocidade das violações, mas dificilmente vai bloqueá-las completamente.

Além disso, muitos times de segurança erram ao lutar incessantemente contra malwares, investindo em firewalls e controles de segurança caros para proteger o perímetro. Em excesso, as soluções de segurança podem atrapalhar mais do que ajudar, criando um ambiente complexo. Os malwares nunca deixarão de existir, por isso, o melhor a fazer é conviver com eles e tratar a rede interna como se fosse a própria internet, educando os funcionários a lidar com ela.

Os funcionários geralmente são a porta de entrada para os ataques. Logo, de nada adianta investir em softwares sofisticados se os empregados são descuidados – clicam em links maliciosos, publicam informações sensíveis nas redes sociais, escolhem senhas fracas, entre outros.

Investir em treinamento para o funcionário e desenvolver políticas de segurança eficazes também são uma maneira de deixar a empresa mais segura.

Foco em sistemas críticos

Como é impossível bloquear todas as ameaças, é preciso ter foco no que deve ser protegido. Um erro comum dos times de segurança é criar sistemas de proteção para proteger a rede e não os ativos da empresa. Por isso, é essencial integrar os diretores no planejamento para entender o que é crítico para o negócio e quais sistemas são mais importantes para proteger os dados.

O resto do ambiente corporativo também merece atenção e deve ser protegido, mas não adianta tentar “abraçar o mundo”. Se o budget é limitado, é melhor focar em ativos críticos em vez de proteger uma rede inteira de maneira ineficaz.

Vale implementar um risk assessment para encontrar vulnerabilidades e ameaças e classificá-las em níveis de criticidade para decidir como priorizar o budget limitado para segurança.

Com CSO