Orçamento de Segurança da Informação: entenda os principais desafios

[av_image src=’http://www.proof.com.br/wp-content/uploads/2017/06/budget.png’ attachment=’7817′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

Orçamento de Segurança da Informação: entenda os principais desafios

Começamos com uma pergunta: será que você está alocando seu orçamento de segurança da informação da melhor maneira?

Se você concentrar a maior parte de seus investimentos de segurança em seu perímetro de rede e deixar de lado a segurança de aplicações e o gerenciamento de identidades, por exemplo, é bem possível que suas prioridades estejam erradas.

Isso porque as aplicações web comprometidas são a fonte nº 1 de violações. O grande problema disso é que mais de metade das empresas (51%) investem até 5% (ou menos) de seus orçamentos de TI em segurança de aplicações.

Além disso, há a questão das identidades dos usuários. Afinal, identidades comprometidas são a causa número dois entre as violações mais comuns.

Apesar das estatísticas, a maioria das empresas ainda investem grande parte de seus orçamentos de segurança em proteções de perímetro de rede. Ou seja, depositam toda a confiança em um firewall.

Se a sua empresa se encaixa nesse perfil, você deveria ficar bem preocupado.

Seu perímetro de rede pode ser amplamente imaginário

Devido à ascensão em dispositivos móveis e à proliferação de aplicações baseadas na nuvem, seu perímetro é, provavelmente, bastante poroso.

Agora você tem centenas, talvez até milhares de usuários vulneráveis localizados em todo o mundo, acessando seus dados e usando uma ampla gama de aplicações em dispositivos na maioria das vezes desprotegidos.

Você sabe quantas aplicações são baseadas na nuvem? Quatro em cada cinco organizações hospedam aplicações na nuvem e 20% planejam entregar mais da metade de suas aplicações através nuvem ainda neste ano de 2017.

Até 2018, terão mais de 12 bilhões de dispositivos móveis em uso em todo o mundo, e cada usuário de negócios terá dois dispositivos móveis utilizados regularmente.

Com seus apps hospedados em qualquer lugar e seus usuários se conectando a partir de qualquer dispositivo, seu perímetro tradicional acaba de explodir.

Depois, há o fato de que o gerenciamento de identidade e acesso está se tornando mais complexo. Se suas aplicações estão on-premises, em sua nuvem privada ou pública, ou são software-as-a-service (SaaS), todos eles precisam de autenticação.

A empresa média possui 700 aplicações em uso. Seus usuários finais têm fadiga de alternar as senhas, e a equipe de TI está lutando para gerenciar a expansão e o acesso da identidade.

O fato é que, se os cibercriminosos se encontrarem bloqueados em sua rede, eles simplesmente irão roubar a identidade de um usuário que possui acesso ou se infiltrarão em um aplicativo web vulnerável.

Ou seja, toda a natureza da segurança mudou.

4 etapas para reorientar seu orçamento de segurança da informação

Quer saber o que você pode fazer diante desse cenário? Siga esses quatro passos!

Passo 1. Priorize o que você precisa proteger

Aplicações desenvolvidas ou implantadas oficialmente pela equipe de TI são relativamente fáceis de se corrigir, mas não se esqueça de verificar as aplicações SaaS que são muitas vezes ignoradas.

Em seguida, identifique todas as aplicações chamados de “Shadow Apps” que estão sendo usados pelos seus funcionários e avalie os principais riscos para sua organização. Eles não serão fáceis de se encontrar.

Você pode entrevistar suas unidades de negócios, revisar os logs de seu software de filtragem da web e revisar contratos legais assinados com provedores de SaaS, o que é um processo muito manual e (muitas vezes) demorado.

Ainda assim, você deve priorizar as aplicações para que você consiga identificar e proteger aqueles que o tornam mais vulnerável.

 

Passo 2. Confira o alinhamento entre orçamento e ameaças 

Para onde está indo seu orçamento de segurança? Se você achar que o conselho está mais focado em compliance e está pecando nas vulnerabilidades mais críticas associadas a expansão das aplicações e identidades, comece a construir o seu caso.

Documente suas descobertas para que você seja capaz de identificar áreas onde as despesas estão inferiores ou superiores ao necessário.

Passo 3. Comunique suas descobertas

Apresente suas descobertas a administração e ao conselho. Explique as lacunas que existem entre os investimentos em cibersegurança, hoje, e o que mais precisa ser protegido.

Faça recomendações específicas e esteja bem preparado para apresentar uma análise de custo-benefício dos investimentos recomendados para obter o orçamento que você precisa.

É provável que você precise investir pesado em soluções de gerenciamento de identidade e acesso, gerenciamento de segurança de aplicações e soluções avançadas de firewall.

Passo 4. Implemente controles e mostre como você está gerenciando ameaças

Documente e controle como você está usando o investimento que você receber, e faça relatórios periódicos para o quadro executivo sobre o seu progresso.

Ainda assim, é muito provável que você sofra um ataque, então faça algum seguro cibernético e terceirize serviços de resposta à incidentes  para entrar em ação e reduzir os danos em caso de violação.

Apresentando segurança e risco ao quadro executivo

Agora chegou a hora de “vender” a sua proposta para o quadro executivo. Portanto, a etapa de apresentação é muito crítica: a segurança de sua empresa, a reputação e saúde financeira dependem de você.

Os membros da diretoria precisam entender os riscos de negócios que você enfrenta e como você planeja mitigá-los. Mas o tempo – e a atenção – deles é limitado. Portanto, seja objetivo, e se atenha ao que realmente importa.

O conceito de Business-Driven Security é fundamental nesse momento. O termo foi cunhado pela RSA durante a edição desse ano da RSA Conference e sua proposta é orientar a área de segurança da informação à área de negócios da empresa.

Isto é, conectar o contexto de negócio com as atividades das ameaças para ganhar agilidade e eficiência na defesa aos riscos de cibersegurança.

Para que você atinja seus objetivos, recomendamos estes 4 passos 😉

1) As ameaças cibernéticas são reais: se atenha aos fatos

Eles ouviram os números: em 2015, US$ 400 bilhões foram perdidos para o cibercrime. Bocejo geral. Informações como estas não prendem o espectador, pelo menos não sem um referencial.

Que tal comparar os investimentos em segurança da informação em contrapartida aos prejuízos financeiros causados pela indústria do cibercrime?

Se o cenário está ruim hoje, a previsão é muito mais assustadora, de acordo com o Cybersecurity Ventures.

A camada executiva precisa entender os riscos gerais de se fazer negócios em tempos de digitalização e entender as ameaças que enfrentam sua indústria.

Se o maior risco de sua organização está relacionado à falta de controles ou processos inadequados, eles precisam saber disso.

Mais importante ainda, eles precisam saber o que você está fazendo sobre isso. Não vá para a diretoria com problemas para os quais você ainda não descobriu as soluções.

Portanto, conte uma história (que gere empatia) sobre uma violação de segurança, de preferência na sua indústria.

Dê exemplos da sua própria empresa. Identifique ativos críticos de informações – propriedade intelectual, dados confidenciais de clientes – e pinte um quadro do que aconteceria e o quanto custaria se eles forem comprometidos.

2) Forneça métricas que convençam

Se você tem lacunas no controle de segurança, é preciso deixar bem claro o porquê disso. A melhor maneira de fazer isso é provando que sua empresa está constantemente sob ataque, que suas redes são alvos recorrentes.

Deixe claro que, mais cedo ou mais tarde, os criminosos terão sucesso.

3) Consiga o apoio deles na adoção de uma cultura de segurança

O erro humano é responsável por 56% das violações cibernéticas. Um negócio seguro é um negócio em que todos são minimamente educados sobre as ameaças digitais e que fazem a sua parte para reduzir o risco.

Isso começa com treinamento rigoroso e repetitivo, como simulações de e-mails de phising. Para isso, existe soluções de educação do usuário que atendem muito bem esse tipo de necessidade. Uma delas é a PhishX com seu grande portfólio de templates extremamente semelhantes aos samples de phishing que circularam pela web.

Outra alternativa seria o compromisso com um padrão de boas práticas como as normas da ISO 27001, por exemplo. Se quiser saber um pouco mais sobre certificações de segurança da informação, você pode conferir no blog post aqui.

Criar uma política de segurança da informação também é outra excelente forma de aumentar o nível de maturidade da sua corporação. Afinal, um artefato como esse ajuda muito a subir a régua da empresa em relação às boas práticas de segurança da informação.

4) Convença-os de que eles precisam de ajuda para resposta a incidentes

Incentive o conselho a enfrentar os fatos de frente: todas as organizações hoje enfrentam a possibilidade muito real de que serão violadas. A pergunta deixa de ser “se eu for invadido” e sim “quando eu vou ser invadido”.

Quanto dano você sofre depende do quão rápida e eficaz é a sua resposta, então por que não se preparar? A maioria das empresas não tem a expertise necessária para responder a incidentes críticos de segurança de forma adequada.

Sua melhor aposta: um terceiro o devido know-how no assunto. Uma boa empresa de resposta a incidente te ajudará nessa iniciativa.

[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_blog blog_type=’taxonomy’ categories=’35’ link=’post_tag,236′ blog_style=’blog-grid’ columns=’3′ contents=’title’ content_length=’content’ preview_mode=’custom’ image_size=’entry_without_sidebar’ items=’3′ offset=’0′ paginate=’no’ conditional=”]

[av_social_share title=” style=” buttons=”]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_comments_list]

3 dicas para priorizar o investimento em segurança

[av_textblock size=” font_color=” color=”]

3 DICAS PARA PRIORIZAR O INVESTIMENTO EM SEGURANÇA

[/av_textblock]

[av_textblock size=” font_color=” color=”]

[/av_textblock]

[av_textblock size=” font_color=” color=”]
Uma questão que muitos líderes de segurança e de negócios estão explorando é como utilizar o orçamento de segurança da informação de forma eficaz.

Será que um líder de segurança pode tornar-se clarividente e desenvolver um orçamento de segurança que proteja sua organização mesmo sem saber onde o próximo ataque pode se desdobrar?

Sim, é possível. Confira algumas boas práticas para melhor priorizar o investimento em segurança!

1. Fale a mesma língua do negócio e do conselho

Entender como sua empresa gera receita, qual seu carro-chefe, é fundamental para o desenvolvimento de seu orçamento de segurança. Parece simples, no entanto, muitos gerentes de segurança têm relações tensas com líderes empresariais dentro de suas respectivas organizações.

Entender os fluxos de receita de sua organização é fundamental para entender ‘o que precisa ser protegido’ de uma perspectiva de cibersegurança.

Como líder de segurança, você deve mapear seu orçamento e projetos para proteger seus fluxos de receita, além de criar novos. Se você não consegue mapear um projeto ou investir com esses conceitos em mente, não vale a pena fazer.

2. Os frameworks de segurança ajudam a criar conversas empíricas

Os frameworks de segurança estão crescendo em importância no momento que os líderes de segurança reconhecem que o uso de compliance como a principal maneira de vender investimentos de segurança para os executivos da empresa baseia-se mais em emoção do que em dados empíricos reais que suportam a história.

A eliminação da emoção da conversa e a implantação de uma abordagem empírica para um orçamento de segurança da informação é fundamental para o sucesso.

3. Expanda seu orçamento para segurança do negócio

Para repriorizar os orçamentos, os líderes de segurança devem se enraizar em todos os aspectos dos processos de negócios e entender o ciclo de vida de receita de seus negócios e como ele interage com o ciclo de vida dos ciberataques.

Os ciberataques acontecem em cinco estágios: pesquisa, infiltração, descoberta, captura e exfiltração de informações. Líderes de negócios – incluindo o líder de segurança – precisam considerar todos os cinco antes de decidir onde investir fundos.

Como uma indústria, gastamos muito tempo falando sobre os atores individuais envolvidos em um ataque cibernético. No entanto, o verdadeiro foco deve estar no fato de que todos esses atores estão participando de um mercado altamente lucrativo, que é o mercado do cibercrime.

A indústria do cibercrime movimenta bilhões de dólares anualmente.

Segundo a Cybersecurity Ventures, os investimentos globais com produtos e serviços de cibersegurança será de um pouco mais de 1 trilhão de dólares entre 2017 e 2021. Em contrapartida, estima-se que o custo do cibercrime será de 6 trilhões de dólares só em 2021.

Em contraste ao crescimento gritante do cibercrime, o mercado de TI cresce a passos lentos. De acordo com os dados do Gartner, o mercado de TI deve crescer significativamente de 2015 para 2017, alcançando um valor de US$ 2,77 trilhões, mas ainda muito irrisório se comparado ao cibercrime.
[av_hr class=’invisible’ height=’20’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
O mercado de Segurança da Informação, por outro lado, é menor ainda. De acordo com a Forrester Research, estima que esse mercado vai crescer de US$ 75 bilhões, em 2015, para 120, em 2017, e 170 em 2020.
Resumindo a ópera: a menos que o mercado desenvolva e adquira a maturidade necessária para enxergar segurança de uma outra forma, o cibercrime vai gerar prejuízos inimagináveis. 

[av_hr class=’invisible’ height=’20’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

Conclusão

A realidade é que os atacantes irão eventualmente entrar e, no entanto, a maioria dos líderes de segurança gasta a maior parte do seu orçamento tentando impedir o atacante de entrar em vez de investir em outras fases do ciclo de vida do ataque.

Deslocar investimentos para ganhar inteligência de sistemas e investindo em pessoas para detectar e interpretar atividades maliciosas e padrões anormais de negócio aumenta a consciência organizacional sobre as atividades da sua rede, e assim prevenindo ataques bem-sucedidos.

Sabendo diferenciar o normal do anormal antes da exfiltração de informação mantém o negócio rodando, e esse é o tipo de investimento de segurança que a organização e o conselho vão querer fazer.

[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_textblock size=” font_color=” color=”]

GOSTOU DO NOSSO ARTIGO E QUER SABER MAIS? CONFIRA NOSSOS MATERIAIS 😉

[/av_textblock]

[av_one_half first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP_vCapa-01.png’ attachment=’7013′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK GUIA DE COMPRAS PARA QUEM PRETENDE CONTRATAR UM MSSP

[/av_textblock]
[/av_one_half]

[av_one_half min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP-Checklist_vCapa-01.png’ attachment=’7014′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1489530214Buyers-Guide-MSSP-Checklist_v2.pdf’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CHECKLIST GUIA DE COMPRAS PARA QUEM PRETENDE CONTRATAR UM MSSP

[/av_textblock]
[/av_one_half]

[av_comments_list]

Como utilizar seu orçamento de segurança da informação em 4 passos

[av_textblock size=” font_color=” color=”]

COMO UTILIZAR SEU ORÇAMENTO DE SEGURANÇA DA INFORMAÇÃO EM 4 PASSOS

[/av_textblock]

[av_textblock size=” font_color=” color=”]

[/av_textblock]

[av_textblock size=” font_color=” color=”]
Surpreendentemente, utilizar o orçamento de segurança da informação é um dos desafios mais difíceis enfrentados pelos CISOs no ambiente atual. Aqui está o porquê:

Ofuscação do fornecedor

Nós sempre ouvimos falar sobre o “produto mágico” de segurança que resolve todos os seus problemas, a famosa bala de prata, mas se você pesquisar a fundo vai perceber que isso não existe. A premissa de que existiria uma solução/tecnologia capaz de lidar com todos os vetores de ataque não existe e nunca deveria ter existido.

Os fornecedores vendem uma solução complexa para questões complexas e eles fazem promessas que seus produtos muitas vezes não podem cumprir, então você nunca sabe exatamente o que está comprando. Afinal, vender é fácil, o desafio está em entregar o que foi prometido.

Até porque há implicações não declaradas na compra de qualquer produto. Depois de adquirir um determinado produto, quais são as suas limitações? Até que ponto você pode atualizar uma tecnologia, até que ela não atenda mais às suas necessidades? Quantos funcionários você vai precisar para operar esta solução?

Opções demais de escolha

Cada fornecedor de segurança tem um conjunto de produtos e todos eles se sobrepõem. Além disso, o mercado de segurança é tão dinâmico que até os fornecedores que não são originalmente desse mercado estão oferendo soluções de segurança.

Você está agora sobrecarregado com a escolha. Por exemplo, se você precisar de uma solução de gerenciamento de vulnerabilidades, você compra o complemento para ferramenta anti-malware, para a ferramenta de gerenciamento de desktop, para a ferramenta de acesso remoto ou compra uma ferramenta totalmente nova? Pois é, muitas opções.

Pense além da caixa

Os vendedores vão fazer de tudo para reconfigurar seu produto e manter o seu negócio e mantê-lo fora das mãos de seus concorrentes, mas até que ponto você consegue usar o produto para além de sua capacidade original? Ou você acaba precisando comprar uma solução diferente, com todo o custo adicional associado?

Pois é, cuidado com esses custos indiretos, eles costumam passar despercebidos. 

[/av_textblock]

[av_textblock size=” font_color=” color=”]

Agora que já falamos algumas das principais complicações, vamos listar a 4 dicas de como você deve utilizar seu orçamento de segurança da informação.

1. A solução perfeita não existe

Nenhuma solução é perfeita, por isso não perca o seu tempo procurando por ela. Escolha o que funciona para você e construa em cima de sua infraestrutura existente e dentro do seu orçamento. A solução ideal para você vai precisar ser customizada de acordo com a sua realidade de negócio, isso é um fato.

Afinal, segurança é um processo que precisa ser constantemente revisitado, em atualizações e mudanças recorrentes e que está sempre se reinventando. Faz parte da tríade entre pessoas, processos e tecnologias. Saiba administrar os três pilares, de forma dinâmica, que aí sim você estará no caminho certo.

2. Encontre recursos não utilizados

Você sabe quanto está gastando com as funcionalidades que você não usa? Você sabe se a sua licença anti-malware também tem DLP incluído se você instalar a versão mais recente? Procure os seus fornecedores e peça para que eles te mostrem como maximizar o valor de sua tecnologia.

3. Atualize licenças e versões

Sem a necessidade de novos kits e reinstalações, qual funcionalidade você pode obter apenas atualizando licenças e versões? Que descontos você pode obter em troca de fidelidade com a marca?

4. Identifique os grandes gaps

Depois de expandir as ferramentas atuais, onde estão as outras lacunas? Elas precisam de soluções específicas que podem ser atendidas por seus fornecedores atuais? Não descarte as soluções que você já possui para as suas necessidades emergentes, elas podem atender as necessidades específicas tão bem quanto a original.

Em geral, você deve procurar por valor e parceria. Encontre fornecedores que você pode confiar e que podem expandir sua cobertura, dessa forma o problema de integração torna-se um problema do seu fornecedor e não seu, e para cada nova solução necessária você deve conseguir um desconto.
[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_textblock size=” font_color=” color=”]

GOSTOU DO NOSSO ARTIGO E QUER SABER MAIS? CONFIRA NOSSOS MATERIAIS 😉

[/av_textblock]

[av_one_half first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP-Checklist_vCapa-01.png’ attachment=’7014′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1489530214Buyers-Guide-MSSP-Checklist_v2.pdf’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CHECKLIST GUIA DE COMPRAS PARA QUEM PRETENDE CONTRATAR UM MSSP

[/av_textblock]
[/av_one_half]

[av_one_half min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP_vCapa-01.png’ attachment=’7013′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK GUIA DE COMPRAS PARA QUEM PRETENDE CONTRATAR UM MSSP

[/av_textblock]
[/av_one_half]

[av_comments_list]