Cibersegurança e riscos para a continuidade dos negócios

 Artigo original: https://www.linkedin.com/pulse/ciberseguran%C3%A7a-e-riscos-para-continuidade-dos-neg%C3%B3cios-david-muniz/

Com a recente e crescente dos vazamentos de dados, é ainda maior a necessidade de proteção das informações em ambientes de todos os tamanhos. Vale lembrar que esses vazamentos de dados custaram (ou irão custar) milhões de dólares em processos judiciais, redução de receitas e, principalmente, perda de confiança dos clientes. Assim, garantir a implantação de políticas, procedimentos e processos para gerenciar suas informações de forma segura é essencial para a continuidade de negócio nas organizações.

As ameaças de segurança da informação exploram a cada vez crescente complexidade e conectividade de sistemas críticos. Assim como os riscos financeiros e de reputação, riscos associados a cibersegurança afetam os resultados de uma companhia, e atualmente são capazes de direcionar a utilização de recursos e impactar receitas. Esses riscos cibernéticos podem prejudicar a habilidade da organização em inovar, além de conquistar e manter clientes.

 Assim como os riscos financeiros e de reputação, riscos associados a cibersegurança afetam os resultados de uma companhia, e atualmente são capazes de direcionar a utilização de recursos e impactar receitas. 

Nesse contexto, podemos citar três preocupações (e premissas) essenciais, e associadas a cibersegurança:

  • A alta administração considera cibersegurança um risco de negócio a ser tratado;
  • As regulações são efetivas e o nível dos padrões da companhia precisam subir;
  • Os clientes estão demandando uma melhor postura da organização em relação a cibersegurança.

Por onde começar então? Podemos iniciar com a palavra 'consciência' . É impossível defender o que não sabemos que existe. Nesse aspectos, uma das regulações mais utilizadas para aumentar a consciência em cibersegurança em organizações no mundo todo é o Framework de Cibersegurança do NIST, atualmente em sua versão 1.1, lançada em 2017.

Para o desenvolvimento desse Framework, o NIST consultou centenas de profissionais do setor de Segurança da Informação para, em Fevereiro de 2014, lançar a versão final do documento intitulado Framework for Improving Critical Infrastructure Cybersecurity (ou Framework para Melhoria de Cibersegurança de Infraestrutura Crítica). É importante frisar que esse Framework pode ser utilizado para guiar ações voltadas a cibersegurança em organizações de todos os setores e tamanhos.

Esse Framework pode ser utilizado para guiar ações voltadas a cibersegurança em organizações de todos os setores e tamanhos

O NIST dividiu o Framework em três componentes

1. Núcleo do Framework (Framework Core): contém um conjunto de atividades, resultados e referências sobre aspectos e abordagens relacionadas a cibersegurança;

2. Níveis de Implementação do Framework (Framework Implementation Tiers): são utilizados para esclarecer a visão de riscos em cibersegurança e o grau de sofisticação da abordagem da alta administração;

3. Perfil do Framework (Framework Profile): uma lista de resultados que a organização escolheu através de suas categorias e subcategorias, baseado em suas necessidades e avaliação de riscos.

O Núcleo do Framework fornece um guia detalhado para desenvolver Perfis individuais através de atividades e resultados. Além disto, contém uma série de diretrizes associadas a cibersegurança, incluídas em 05 Funções que refletem o ciclo básico em Segurança da Informação: Identificar, Proteger, Detectar, Responder e Recuperar.

Abordando especificamente essas 05 Funções, podemos incluir algumas sugestões de ações de cibersegurança associadas a cada uma delas:

1. Identificar

  • Identificar e controlar quem tem acesso às informações de negócio;
  • Conduzir verificações de histórico de funcionários próprios, terceiros e prestadores de serviço;
  • Estabelecer contas de usuário individuais para os funcionários próprios, terceiros e prestadores de serviço;
  • Criar políticas e procedimentos para Segurança da Informação.

2. Proteger

  • Limitar acesso de funcionários aos dados. Basicamente implantar o Conceito do Privilégio Mínimo, onde esse acesso é determinado pelos papeis e responsabilidades de cada funcionário;
  • Implantar soluções de Segurança da Informação, como uma solução de PAM;
  • Atualizar os softwares dos dispositivos e aplicações do ambiente;
  • Implantar dispositivos de firewall em todas as redes do ambiente;
  • Verificar a segurança dos access points e redes wireless (muito comum em pequenas e médias empresas);

3. Detectar

  • Utilizar ferramentas de antivírus, spywares e outros softwares maliciosos;
  • Manter e monitorar logs, inclusive com a detecção e alerta de acessos não autorizados a dados, ou credenciais afetadas;
  • Alertar ameaças envolvendo arquivos maliciosos, processos, usuários afetados e acessos a dados não autorizados;

4. Responder

  • Investigar e eliminar tanto a presença quanto atividade maliciosas;
  • Desenvolver um plano para recuperação de desastres e incidentes de Segurança da Informação;
  • Testar os planos de resposta a incidentes;

5. Recuperar

  • Assegurar o backup completo e incremental de dados do negócio, para que seja possível recuperar o ambiente para o estado (ou para algo próximo) de antes do ciberataque;
  • Considerar a opção de seguros cibernéticos. Como todo seguro, o cyber insurance permite a transferência do risco para uma outra organização (nesse caso a empresa de seguros), e podemos afirmar que é uma modalidade em evidência no mercado;
  • Melhorar processos, procedimentos e tecnologias.

Essas ações podem até parecer triviais em grandes empresas, porém em muitos casos as pequenas e médias empresas (ainda) não possuem essa consciência em cibersegurança.

A implementação do Framework de Cibersegurança do NIST permite a qualquer organização avaliar a sua postura em cibersegurança, além de oferecer uma linha de base para medir os seus programas em cibersegurança. Em um cenário de grandes vazamentos de dados e incidentes de cibersegurança, as organizações devem olhar de forma mais atenta ao Framework de Cibersegurança. Mesmo não sendo a única solução para aspectos de cibersegurança, o Framework tem significante impacto em muitas indústrias, e não apenas àquelas ligadas a infraestrutura crítica.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Tempo doido

Imagem
Olá, Hoje é feriado aqui na parte dutch da Bélgica, dia da Comunidade Flamenga, daí algumas empresas (inclusive a minha) deram o dia de folga para os funcionários. . Ontem teve um evento da minha equipe. Descobri que a cada 3 meses a gente tem direito de organizar um evento (jantar, atividades, etc) e que a empresa paga os custos. Fomos eu, o Filip (meu chefe), Steven e Hans jogar 2 partidas de sinuca e depois jantar em um restaurante super legal lá em Mechelen, chamado T'Archief (algo como "o arquivo", ou biblioteca). Essa semana pensei em um tópico para o post, e decidi falar sobre o clima aqui na Bélgica: é coisa de doido! Durante esta semana tirei umas fotos para ilustrar do que estou falando. . Primeira foto tirada às 16:16 do dia 08/07: Segunda Foto tirada às 16:34 do mesmo dia: Terceira foto tirada às 17:52 : Bom, pode ser até que isso aconteça em algumas regiões do Brasil e tal, mas não vem me dizer que é normal não, isso é coisa de maluco!! O verão aqui ou aind...
Leia mais

My Anxious Second Post

Imagem
Bom dia Galera, Tudo bom???? Apesar de estar publicando este post no dia 13, parte dele foi escrito no dia 12 mesmo. Falei pra mim mesmo que não iria postar mais de uma vez num dia, e espero na medida do possível me comportar assim, mas enfim, no dia que não puder esperar, vai dois ou mais no mesmo dia. Estou no fim do semestre, graças a Deus. Acho que é uma das melhores sensações que pode existir. A sensação de dever cumprido, mesmo que muitas vezes nós (e até os professores) tentemos levar o semestre com a barriga. Antes de falar sobre o fim do semestre, deixa eu falar uma coisa pra vocês: ontem, depois que publiquei o primeiro post e arrumei esse negócio direitinho, fiquei pensando: "Será que preciso mesmo de um blog??? Logo eu, que sempre achei essas coisas sem graça???". Pois é, logo eu!! Mas admito que a idéia não é má, como eu falei, a única coisa que me assusta é ter minha vida (ou parte dela) exposta, mesmo que para um número restrito de pessoas. Ontem tive a apresen...
Leia mais

O Homem na Arena

Imagem
 A Brene Brown é uma das minhas escritoras favoritas. Já falei dela aqui e continuarei falando. Quando fui internado ano passado, uma das minhas companhias durante o período que fiquei no hospital foi o livro "A Coragem para Liderar". Ela inclusive quem me apresentou o discurso do Theodore Roosevelt, que trouxe em minha última postagem.  Esse discurso é um dos maiores exemplos de coragem e vulnerabilidade que conheço. Quando nos despimos do nosso orgulho e daquela ideia de "o que as pessoas vão pensar?" para corrermos atrás dos nossos sonhos, do que acreditamos e temos como verdade. Quando tomamos um chá de "fuckemal" (é libertador)!  Em uma de suas palestras, a Brené fala sobre alguns pontos chave da vulnerabilidade, e que falam muito comigo. Primeiramente, que o que importa não é ganhar ou perder. O que importa é aparecermos e sermos vistos! Levantar a nossa cauda de pavão. Literalmente colocarmos a cara a tapa. Botar o corpo na rua! Em no...
Leia mais