Cinco lições sobre a sobrevivência da segurança cibernética

Our Thinking /

Cinco lições sobre a sobrevivência da segurança cibernética
Calendar10 Outubro 2017

Enquanto quebra de segurança e desvio massivo de informação pode tornar-se um pesadelo para os indivíduos, também serve como ponto de inflexão para as organizações, legisladores, reguladores e consumidores se aproximarem de temas críticos como segurança cibernética e da informação, privacidade e confiança.

A segurança da informação pode construir confiança e reputação para as organizações. O mundo dos negócios da chamada 4 revolução industrial depende e interage em bases de tecnologia e confiança passa ser fundamental para o sucesso das organizações. Se o consumidor / cliente da empresa não tem confiança, ela não será contratada / bem sucedida. Assim, além de uma preocupação, segurança cibernética oferece uma oportunidade de criação de valor para as organizações.

Os recentes eventos demonstraram simplicidade na exploração de falhas que medidas de “higiene cibernética” básicas teriam sido suficientes para prevenir. Então vamos voltar ao básico! Segue abaixo uma releitura das cinco lições aprendidas para sobrevivência das empresas:

  • Inteligência Artificial, Computação Cognitiva, “Machine Learning”.

Algumas das grandes corporações identificam 1 milhão de alertas de segurança por dia. Simplesmente não possuem condições de avaliar um universo tão grande de suspeitas de forma efetiva. Depender de tecnologias proprietárias e aplicação de “patchs” de fornecedores pode ser arriscado. É como ter de esperar pela “foto do bandido” para saber o que tem de ser prevenido. Essas tecnologias referidas antecipam passos de prevenção, se ajustando e adaptando com base em evidências de comportamento mal intencionado no perímetro virtual / digital da organização.

  • The National Institute of Standards and Technology Cybersecurity Framework

“O CSF (Cyber Security Framework) é o padrão de segurança cibernética desenhado pelo NIST que é o equivalente à ABNT”. Quando foi desenhado em 2014 tinha o objetivo de ser aplicado o governo, e 16 áreas de infraestrutura critica, como hospitais, instituições financeiras e transportes. Agora é obrigatório para o governo e todas as empresas que trabalham com o governo.  CSF é um padrão fácil de usar e escrito para “não técnicos”. Diferentemente do GDPR (General Data Protection Regulation) que é de cumprimento obrigatório na União Europeia à partir de meados de 2018, o CSF não é, mas muitas das regulamentações desenvolvidas simultaneamente e depois do CSF, possuem muita similaridade e complementariedade e as empresas que utilizam o CSF como diretriz estão em vantagem. A Marsh Risk Consulting utiliza o framework CSF do NIST para avaliar o ambiente de controles dos nossos clientes com relação à segurança cibernética.

  • Cyber Hygene ou Higiene Cibernética

Aqui a temática são princípios básicos como: atualização de aplicativos tempestivamente, boas praticas de controle de acesso, incluindo identificação multifactores e, treinamento continuo de parceiros e colaboradores. 

  • Planejamento (e prática) de resposta a incidente

Se a empresa tem um plano de resposta, mas não foi testado então não há plano! Simples assim. O mesmo vale para continuidade de negócios e gestão de crises. Planos documentados no papel não servem! A organização resiliente precisa estar preparada para responder e a preparação vem apenas com a prática!

Violações custam um dinheirão para remediar. Pense o que você precisa para lidar com: perícia, notificação, especialistas, etc. E isso não inclui a investigação, custos de litígio e de liquidação ou os possíveis custos intangíveis. Claro, você pode também ver o impacto no valor das ações, mas você já pensou em atribuir um custo à reputação?

  • Backup

Simples! Um dos erros mais comuns - as organizações não fazem suficientemente backup de seus dados. É somente quando precisa muito de um backup (como durante um ataque de ransomware) que se descobre que não haverá um. Procedimentos de backup apropriados custam pouco, mas podem salvar um monte, e não há nada de errado em ter backups de backups. Backups incrementais ou geracionais são ferramentas úteis. E certifique-se de que os backups funcionam. Antes de colocar o backup na prateleira, deve testá-lo. Você não precisa o estresse adicional durante uma crise em descobrir que seu backup não funciona.

Segurança cibernética não é fácil ou intuitivo, cyber-ameaças e ataques estão mudando constantemente. O básico descrito acima realmente importa e pode ajudar os executivos da empresa dormir melhor à noite.

Bons Negócios.
Estejam seguros!

Traduzido e adaptado por Carlos Santiago

Fonte: http://www.brinknews.com/five-lessons-on-cybersecurity-survival/