This post is also available in: Português
Existe uma verdade incômoda quando o assunto é segurança digital: empresa nenhuma pode se comportar como se as ameaças virtuais não existissem. Assim, a única saída é tornar-se uma organização com resiliência cibernética, algo que envolve criar uma nova cultura e mentalidade, adotando diferentes processos e tecnologias. Nesse contexto, os responsáveis pela gestão de cibersegurança nas empresas são confrontados com novas demandas impulsionadas pela transformação digital dos negócios.
Mesmo que existam centenas de diretrizes na comunidade de segurança cibernética, a aplicação dessas orientações por vezes fica abaixo do que é necessário para garantir uma defesa eficaz. Como resultado, surgem novos recordes nos números anuais de ataques cibernéticos.
Um dos problemas mais graves é quanto à falta de continuidade no cuidado com a segurança digital. As ferramentas e processos de segurança muitas vezes acabam sendo configurados uma única vez e depois colocados “no automático”, gerando uma falsa sensação de segurança e tornando-se desatualizados. As estruturas devem ser atualizadas continuamente para acompanhar o fluxo das atividades de negócios e proteger efetivamente contra vulnerabilidades recém-descobertas.
Existem, sim, automatizações que podem ser feitas com relativa segurança e eficiência. Porém, precisam de supervisão, bem como ser integradas de maneira sinérgica. A falta disso resulta em um ambiente complexo de ferramentas, lacunas e vulnerabilidades que juntos aumentam a superfície de ataque por conta da incapacidade de implantar uma abordagem abrangente e automatizada.
Outro grande desafio é o grande volume de trabalho envolvido no acompanhamento de alertas de segurança e incidentes que não podem ser automatizados. A dependência de pessoas para realizar funções de segurança, para avaliar as implicações mais estratégicas de alertas e incidentes, é uma missão de extrema importância. No entanto, existe uma escassez de mão de obra especializada em segurança cibernética, algo visto em diversas regiões do país. Para enfrentar esses desafios, as empresas podem optar pela terceirização, dependendo de seu perfil de risco, para melhorar a gestão de segurança digital.
Nesse contexto, o papel dos líderes de resiliência cibernética de uma empresa é garantir que os riscos cibernéticos sejam gerenciados em um nível aceitável. Como nenhuma empresa está imune a ameaças cibernéticas, elas precisam estar preparadas para o que se pode evitar. Por isso, as organizações devem ter a capacidade de identificar e minimizar de forma rápida e eficiente o impacto de um incidente, para permitir a continuidade dos negócios da maneira mais eficaz e rápida possível.
Como a segurança cibernética é responsabilidade de todos em uma empresa, é essencial que as principais partes interessadas entendam suas responsabilidades. Para auxiliá-los, reunimos oito princípios sobre resiliência cibernética na era digital que juntos, podem auxiliar profissionais e empresas na implementação do conceito.
Os 8 princípios são os seguintes:
- 1- Pense como um líder na hora de fazer a cibersegurança ir além de uma função de suporte, sendo também um diferencial para a geração de oportunidades de negócios. Assim, deve-se considerar que a cibersegurança tem influência direta na reputação da marca, nas receitas, relacionamento com os clientes e tempo de lançamento de um produto no mercado, entre outros parâmetros.
- 2- Fomentar Parcerias Internas e Externas. As internas são necessárias para garantir a continuidade das atividades de acordo com a tolerância ao risco definida pela organização. Já as externas são importantes para compartilhar informações sobre questões relacionadas à segurança, como ameaças e melhores práticas para gerenciar os riscos associados às ameaças cibernéticas de maneira mais eficaz.
- 3- Proteger o acesso a ativos críticos com base no princípio de acesso menos privilegiado. Isso ajuda a construir uma cultura que valoriza um forte sistema de gerenciamento de identidade e acesso. É algo que inclui proteger-se contra ameaças como o phishing. Quanto a esse problema em específico, o e-mail é o ponto de entrada mais comum – em média, cerca de 90% dos malwares vêm por esse meio. Assim, fortalecer as defesas nessa esfera colabora na proteção dos ativos mais sensíveis.
- 4- Aplique uma abordagem de confiança zero abrangente. Como quase 50% das empresas não avaliam o nível de risco cibernético de seus fornecedores de hardware e software, uma abordagem de confiança zero de perímetro coloca o controle em torno dos próprios ativos de dados e aumenta a visibilidade de como eles são usados em um ecossistema de negócios digital.
- 5- Prevenir, monitorar e responder a ameaças cibernéticas desenvolvendo uma abordagem robusta, para medir riscos e responder a ataques cibernéticos adaptados ao contexto de negócios da organização. Os serviços de segurança implementados devem ser adequados à finalidade e adaptados às necessidades da empresa em todas as dimensões de pessoas, processos e tecnologia.
- 6- Comunicação. Informar a existência de um incidente de segurança em tempo hábil é tão importante quanto a transparência e a simplicidade para formar um relacionamento sólido e confiável com clientes, acionistas, reguladores e outras partes interessadas. É o que permite agir de modo que se tenha tempo para combater as ameaças tão logo seja possível e à altura de seus possíveis danos.
- 7- Crie um plano robusto de recuperação de desastres. Ele deve ser adaptado a cenários de incidentes de segurança, para proteger a empresa de possíveis ataques cibernéticos e instruir como reagir em caso de violação de dados. Isso reduz o tempo necessário para identificar violações e restaurar serviços críticos para o negócio.
- 8- Criar uma cultura de cibersegurança que coloque os colaboradores na primeira linha de defesa. A ideia é reconhecer o importante papel que todos os funcionários desempenham na segurança da empresa. Lembre-se sempre: manter uma organização segura é o trabalho de todos os empregados.
Ainda assim, os gestores precisam entender que os pilares de toda organização segura, resiliente e eficaz na era digital é a liderança e a cultura organizacional. Um líder que motive a segurança pode inspirar pela sua visão e liderar pelo exemplo. Por isso, uma estratégia de segurança cibernética bem-sucedida e sua implementação dependem da cultura da organização. Cibersegurança, privacidade e confiança digital são todas baseadas em quão bem a empresa consegue integrar a segurança como parte inseparável de seu DNA.
This post is also available in: Português