Os principais erros de segurança cibernética que as empresas estão cometendo (e como evitá-los)
Não existe uma abordagem única para a segurança cibernética. Aprenda alguns dos erros comuns e como você pode seguir o caminho certo. por Scott Matteson
A segurança cibernética é cada vez mais importante, à medida que mais e mais ataques acontecem o tempo todo, deixando as organizações em busca de soluções. Como você pode manter sua empresa a salvo de ataques e das perdas financeiras resultantes?
Discuti o tópico com Alex Manea , diretor de segurança e privacidade da Georgian Partners , um fornecedor de soluções de software.
VEJA: Como se tornar um profissional de cibersegurança: Um guia (PDF gratuito) (TechRepublic)
Scott Matteson: Quais erros as empresas estão cometendo na segurança cibernética?
Discuti o tópico com Alex Manea , diretor de segurança e privacidade da Georgian Partners , um fornecedor de soluções de software.
VEJA: Como se tornar um profissional de cibersegurança: Um guia (PDF gratuito) (TechRepublic)
Scott Matteson: Quais erros as empresas estão cometendo na segurança cibernética?
Alex Manea: Uma das piores coisas que você pode fazer é tentar parar todos os ataques, mas esse é um erro bastante típico.
É fundamental entender que a cibersegurança perfeita é uma meta pela qual você deve sempre se esforçar, mas que nunca alcançará. Certifique-se de entender suas restrições organizacionais - sejam elas tecnológicas, orçamentárias ou até políticas - e trabalhe para minimizar os riscos com os recursos que você recebe. Pense na segurança cibernética como um jogo de otimização econômica.
Por outro lado, você também não quer cometer o erro de "trancar a porta e deixar a janela aberta". Não dedique a maior parte dos seus recursos de segurança cibernética para abordar uma única área ou implantar uma tecnologia específica.
Ao lidar com riscos de segurança, pense em termos de gravidade e probabilidade. Enquanto você ouve muito sobre ataques cibernéticos de alto nível, como o Stuxnet - ataques complexos e multicamadas executados por hackers de elite que trabalham para entidades estatais - a maioria das violações cibernéticas é muito mais comum. Na verdade, é muito mais provável que você seja atingido por algo como o WannaCry , um ransomware relativamente simples que causou US $ 4 bilhões em danos. Ele usou uma vulnerabilidade do Windows conhecida publicamente que a Microsoft havia corrigido meses antes, mas que muitas empresas ainda não haviam implantado.
Comece sentando-se com sua equipe e perguntando se eles têm um modelo holístico de ameaças de ponta a ponta de seus negócios. Incentive-os a pensar sobre isso do ponto de vista de um hacker: o que eles desejam alcançar e qual a maneira mais fácil de alcançá-lo? Depois de identificar suas jóias da coroa e o caminho de menor resistência, concentre-se em adicionar obstáculos economicamente eficientes a esse caminho.
"Se você ainda não estabeleceu uma boa arquitetura de segurança cibernética para supervisionar (implementação de segurança), há uma alta probabilidade de que você seja violado. A melhor defesa é começar a pensar em segurança cibernética o mais cedo possível." Alex Manea, diretor de segurança e privacidade da Georgian Partners, um fornecedor de soluções de software.
Muitas empresas também estão ignorando a necessidade de aplicar o teste de penetração ao seu próprio ambiente para ver o quanto você pode ser hackável. Se você não tiver os recursos necessários internamente, contrate testadores profissionais de penetração. Eles procuram vulnerabilidades de software não corrigidas, testam as configurações do firewall, tentam instalar malware nos terminais, realizam ataques de injeção SQL nas propriedades da web e usam campanhas de phishing direcionadas para tentar entrar na rede. Teste sua segurança cibernética pelo menos uma vez por ano, executando as etapas necessárias para priorizar e corrigir vulnerabilidades identificadas.
Por fim, não chute a lata no caminho quando se trata de implementar a segurança em seu produto ou serviço. Deve ser "assado" durante todo o processo.
Se você ainda não estabeleceu uma boa arquitetura de segurança cibernética para supervisionar isso, há uma alta probabilidade de que você seja violado. A melhor defesa é começar a pensar em segurança cibernética o mais cedo possível. Isso inclui a elaboração de uma política de segurança, a implementação de mecanismos de resposta a incidentes e, o mais importante, a atribuição de responsabilidades a um funcionário específico ou equipe de funcionários. Lembre-se de que, se todos estão encarregados da segurança cibernética, na verdade ninguém está no comando.
Os ataques cibernéticos estão ficando cada vez mais sofisticados, com o potencial de causar mais danos em um mundo digital cada vez mais complexo. A boa notícia é que nunca é tarde para corrigir um erro.
Scott Matteson: O que as empresas estão fazendo certo?
Alex Manea: Há muito a ser dito para começar, e muitos o fizeram. Quanto mais as empresas adiam o investimento em segurança cibernética, mais difícil fica quando elas são inevitavelmente forçadas a resolver o problema. O fluxo constante de violações de dados de alto perfil está rapidamente transformando a cibersegurança de uma coisa boa em algo indispensável.
Para fazer isso você mesmo, comece criando um modelo de ameaça. Pense como um hacker: por onde você começaria se quisesse acessar os ativos mais valiosos da empresa? Siga o caminho de menor resistência e coloque obstáculos efetivos para dificultar o passo. Você nunca pode garantir que não será invadido, mas pode dificultar o suficiente para que a maioria dos hackers simplesmente prossiga para alvos mais fáceis.
Quando isso estiver pronto, verifique se a segurança cibernética não é uma tarefa única. Continue a conversa, transformando a segurança cibernética e os riscos em potencial em uma discussão regular no nível da diretoria.
Scott Matteson: Como as empresas devem educar seus funcionários?
Alex Manea: A maneira mais eficaz de mudar o comportamento de seus funcionários é através de ações, responsabilidade e mudança cultural. A mensagem mais importante a transmitir é que você leva a segurança a sério como empresa e que todos são responsáveis por ela. Verifique se suas ações, processos e sistemas suportam e reforçam esta mensagem; a maioria dos funcionários é muito rápida em detectar e responder à hipocrisia percebida.
Para incorporar a segurança em sua cultura, faça-a sempre presente. Você pode fazer isso incluindo-o como um item da agenda em todas as principais reuniões e responsabilizando os funcionários pelas implicações de segurança de suas decisões. Reconheça e recompense boas práticas e avalie o pensamento de segurança em estratégia, cultura, contratação e promoção de negócios.
Scott Matteson: Como as empresas devem educar seus funcionários?
Alex Manea: A maneira mais eficaz de mudar o comportamento de seus funcionários é através de ações, responsabilidade e mudança cultural. A mensagem mais importante a transmitir é que você leva a segurança a sério como empresa e que todos são responsáveis por ela. Verifique se suas ações, processos e sistemas suportam e reforçam esta mensagem; a maioria dos funcionários é muito rápida em detectar e responder à hipocrisia percebida.
Para incorporar a segurança em sua cultura, faça-a sempre presente. Você pode fazer isso incluindo-o como um item da agenda em todas as principais reuniões e responsabilizando os funcionários pelas implicações de segurança de suas decisões. Reconheça e recompense boas práticas e avalie o pensamento de segurança em estratégia, cultura, contratação e promoção de negócios.
Scott Matteson: Quais sistemas ou processos eles devem implementar?
Alex Manea: Comece seguindo os princípios fundamentais de menor privilégio , descentralização e redundância .
Alex Manea: Comece seguindo os princípios fundamentais de menor privilégio , descentralização e redundância .
- Menos privilégio significa nunca conceder acesso a mais recursos do que o necessário para concluir a tarefa. Isso vale para software, mas também para sistemas baseados em humanos, como concessão de acesso físico a um prédio de escritórios após o expediente.
- A descentralização se aplica tanto aos processos humanos quanto às arquiteturas de software. Quando dois indivíduos precisam aprovar um processo financeiro ou adicionar um usuário a um sistema de software, um processo humano é descentralizado.
- Por fim, use e forneça serviços baseados em redundância . Isso significa que várias instâncias do seu ambiente são disponibilizadas para reduzir a probabilidade de um invasor poder interromper totalmente seus serviços.
Quando as coisas inevitavelmente dão errado, aprenda com cada incidente investigando e descobrindo a causa raiz. Por fim, elabore um plano de correção e pratique usando-o para que você possa se recuperar rapidamente.
Scott Matteson: Deveria haver uma forma de penalização por ignorar as regras de segurança cibernética?
Alex Manea: Por mais que governos e órgãos reguladores tentem policiar a segurança cibernética, o juiz final, o júri e o carrasco são os próprios hackers. O dano à reputação de uma violação grave pode ser um golpe substancial para uma empresa em crescimento e será usado pelos concorrentes para lançar dúvidas sobre sua capacidade de lidar com dados confidenciais nos próximos anos.
Lembre-se de que as decisões de segurança cibernética têm efeitos latentes a longo prazo. A razão pela qual estamos vendo tantas violações de dados em larga escala hoje é por causa de decisões tomadas cinco, 10 ou até 20 anos atrás. Isso significa que as decisões que você tomar hoje determinarão em última análise o quão seguro você está no futuro.
Alex Manea: Por mais que governos e órgãos reguladores tentem policiar a segurança cibernética, o juiz final, o júri e o carrasco são os próprios hackers. O dano à reputação de uma violação grave pode ser um golpe substancial para uma empresa em crescimento e será usado pelos concorrentes para lançar dúvidas sobre sua capacidade de lidar com dados confidenciais nos próximos anos.
Lembre-se de que as decisões de segurança cibernética têm efeitos latentes a longo prazo. A razão pela qual estamos vendo tantas violações de dados em larga escala hoje é por causa de decisões tomadas cinco, 10 ou até 20 anos atrás. Isso significa que as decisões que você tomar hoje determinarão em última análise o quão seguro você está no futuro.
Scott Matteson: Como os departamentos de TI e segurança devem tentar automatizar a cibersegurança?
Alex Manea: Uma das maneiras mais eficazes de automatizar a segurança cibernética é implantar um produto SOAR (Orquestração, Automação e Resposta de Segurança). Esse novo segmento de mercado surgiu nos últimos anos para resolver um problema que quase todo Centro de Operações de Segurança (SOC) enfrenta: Como lidar com a sobrecarga de sinais de diferentes soluções de segurança e entender o ciclo de vida completo de incidentes de segurança. Uma plataforma SOAR eficaz pode ajudá-lo a gerenciar efetivamente suas operações de segurança de ponta a ponta, automatizar as tarefas mais comuns e fornecer total visibilidade do seu ambiente.
Scott Matteson: Qual é o ROI das soluções de segurança cibernética?
Alex Manea:A maioria das pessoas pensa no ROI de segurança cibernética em termos de redução dos riscos de ataques cibernéticos e violações de dados em larga escala, mas isso é apenas a ponta do iceberg. O ROI real vem da criação de uma marca forte e confiável com seus clientes, oferecendo uma vantagem competitiva mensurável e melhorando a aquisição e retenção de clientes.
A cibersegurança é apenas uma peça do quebra-cabeça da confiança. Comece tendo uma responsabilidade adequada em sua organização, construa uma arquitetura forte de segurança cibernética, proteja a privacidade do cliente, garanta práticas comerciais justas, construa um sistema confiável e seja o mais transparente possível. Na Georgian Partners, acreditamos que as empresas que diferem na confiança irão superar seus concorrentes a longo prazo, e colocamos nosso dinheiro por trás dessa tese fundamental.
Alex Manea: Uma das maneiras mais eficazes de automatizar a segurança cibernética é implantar um produto SOAR (Orquestração, Automação e Resposta de Segurança). Esse novo segmento de mercado surgiu nos últimos anos para resolver um problema que quase todo Centro de Operações de Segurança (SOC) enfrenta: Como lidar com a sobrecarga de sinais de diferentes soluções de segurança e entender o ciclo de vida completo de incidentes de segurança. Uma plataforma SOAR eficaz pode ajudá-lo a gerenciar efetivamente suas operações de segurança de ponta a ponta, automatizar as tarefas mais comuns e fornecer total visibilidade do seu ambiente.
Scott Matteson: Qual é o ROI das soluções de segurança cibernética?
Alex Manea:A maioria das pessoas pensa no ROI de segurança cibernética em termos de redução dos riscos de ataques cibernéticos e violações de dados em larga escala, mas isso é apenas a ponta do iceberg. O ROI real vem da criação de uma marca forte e confiável com seus clientes, oferecendo uma vantagem competitiva mensurável e melhorando a aquisição e retenção de clientes.
A cibersegurança é apenas uma peça do quebra-cabeça da confiança. Comece tendo uma responsabilidade adequada em sua organização, construa uma arquitetura forte de segurança cibernética, proteja a privacidade do cliente, garanta práticas comerciais justas, construa um sistema confiável e seja o mais transparente possível. Na Georgian Partners, acreditamos que as empresas que diferem na confiança irão superar seus concorrentes a longo prazo, e colocamos nosso dinheiro por trás dessa tese fundamental.