Com uma mentalidade proativa, você estará em uma posição melhor para frustrar ataques avançados e proteger os dados de sua empresa
A direção das empresas está cada vez mais preocupada com a proliferação da tecnologia no ambiente de trabalho. Inovações como o BYOD, nuvem, acesso global e redes sociais dificultam a vida dos CISOs (Chief Information Security Officers) na busca de uma abordagem eficaz para defender seus dados e proteger sua valiosa propriedade intelectual.
Nesse cenário de ameaças tão dinâmico (ou nem tanto), as empresas e os governos estão lutando constantemente contra o cibercrime organizado e o hacktivismo. Com malwares como o Flame, Stuxnet e Shamoon disponíveis para os cibercriminosos, os CISOs precisam estar um passo à frente e se preparar para ataques adequadamente.
Vejamos algumas medidas de segurança usadas hoje e quais delas podem ser implementadas imediatamente que vão lhe valorizar dentro da empresa e proteger contra ciberataques avançados.
1 . Entender sua empresa
Isso pode parecer infantil, mas não estamos tentando ser paternalistas. A segurança não administra uma empresa, mesmo na indústria de segurança. Muitas vezes, iniciativas para gerar lucros, como vendas e marketing, tendem a ser mais importantes que a segurança, ou deixar a segurança de lado. Em uma tentativa de mudar isso, os CISOs devem se envolver ativamente com o ciclo de vida de desenvolvimento do produto/serviço da empresa e integrar a segurança de maneira estratégica para ampliar seu valor financeiro.
Os riscos e ameaças que sua empresa enfrenta são extremamente reais e podem ter repercussões se você optar por uma abordagem mais reativa para a segurança.
Seja proativo. Informe a diretoria (BODs) que a segurança pode ser um grande diferencial financeiro. Um exemplo pode ser seu envolvimento com os produtos que sua empresa produz. Diferente de outros grupos da área de TI, a segurança precisa pensar nas ameaças. Você deve incorporar esse pensamento em cada processo, estratégia e comunicação. Mais segurança pode aumentar a rentabilidade e preservar os dados da empresa. Mesmo assim, as fases de planejamento da sua estratégia de segurança TI não devem ser apressadas. Ir devagar é a maneira mais rápida de criar uma arquitetura de segurança de TI eficaz e metódica.
2. Compreender o papel da segurança
No ambiente atual, a tecnologia nos consome. Geralmente nos esquecemos das pessoas e dos processos, os fatores essenciais para o sucesso das nossas empresas. Como líderes, precisamos vender ideias. A tecnologia sozinha é um curativo e precisa andar de mãos dadas com outros elementos. Se você quer um sistema de segurança de TI abrangente, você deve integrar governança e processos para garantir o sucesso. Além disso, a educação é essencial. Eduque por todos os lados. Todos os seus funcionários, desde os diretores até o pessoal de atendimento ao cliente e seu departamento de instalações, devem ter uma compreensão mútua da missão e estratégias do seu departamento.
Uma maneira de cultivar essa compreensão é atacar a sua própria empresa. Isso deve testar o conhecimento de seus funcionários quanto às ameaças atuais, como reconhecer essas ameaças , o que dará a você uma boa ideia de como reagir. Esse também é um item importante a ser compartilhado com sua empresa. Outra maneira poderia ser desafiar seu help desk a identificar como eles roubariam uma senha durante o processo de redefinição da senha. Isso deve identificar possíveis casos de abuso. E também é uma forma de educar o grupo em relação a ameaças externas. A maioria dos funcionários está interessada nisso e pode até considerar divertido “bancar o vilão” de vez em quando.
3. Compreender a “informação”
A compreensão do valor relativo da informação é uma ferramenta poderosa. Seu objetivo final deve ser obter sabedoria e conhecimento sobre a função da segurança de TI e como isso afeta a sua empresa. Outro objetivo deve ser de transformar um grupo de segurança em uma equipe de inteligência de segurança. Você precisa de mais que apenas dados e informações, você precisa da capacidade de analisar essas informações e aproveitar as suas descobertas para contar uma história convincente. Ao fazer isso, você viabiliza o desenvolvimento de um programa de segurança que proteja sua empresa contra a perda e o roubo de dados de maneira adequada.
Outro aspecto da compreensão de informação é a liderança. Sua equipe de liderança não deve apenas buscar liderar seu departamento. Precisamos agir como líderes da empresa para oferecer mensagens claras, relevância, contexto e oportunidades de relatar informações importantes à administração da empresa. Somente assim é possível tomar decisões com eficácia. Isso também ajuda a obter aceitação daqueles caras que só veem as margens de lucro e seu programa como um item de linha no orçamento deles.
4. Criar governança
Por definição, a governança é a capacidade de descrever expectativas, conferir, e poder e validar desempenho. Isso pode ser conseguido criando uma declaração de missão poderosa para suas iniciativas de segurança da informação dentro da empresa. Ao fazer isso, você está claramente definindo a quem a segurança de TI se reporta, além dos seus papeis e responsabilidade. Garantir o alinhamento operacional entre todos os departamentos ajudará a envolver sua empresa inteira, aumentando a consciência de sua arquitetura de segurança.
5. Converter risco em iniciativas financiadas
Por último, mas certamente não menos importante, você deve aproveitar o seu modelo de governança para transformar iniciativas de segurança da informação em esforços financiados. Ao colaborar com a administração para determinar sua missão, prioridades e iniciativas, seus projetos serão transformados de maneira inerente em metas com o apoio de todos. Também é muito importante manter a administração informada quanto a riscos, novidades e informações. Os diretores querem ver suas iniciativas e o que você tem a oferecer.
Essas iniciativas podem ajudar a construir uma base forte para a estratégia de segurança da sua empresa. É um trabalho para definir riscos, estabelecer segurança e, então, encontrar o equilíbrio entre esses dois fatores .
Não desperdice oportunidades de educar as pessoas. Cada ataque e violação divulgado é uma oportunidade para você aproveitar aquela ameaça, comunicar o risco e construir uma estratégia. Ao mesmo tempo, você planta uma semente para esforços futuros, comunicando seu plano de ataque e vendendo suas ideias.
Com uma mentalidade proativa, você estará em uma posição melhor para frustrar ataques avançados e proteger os dados de sua empresa.
Fonte: CIO
Nenhum comentário:
Postar um comentário