Nos dias de hoje temos infraestrutura, aplicativos e dados, além de ambientes físico, virtual e mobile... recursos diversos para facilitar e viabilizar o trabalho. Mas junto com a evolução dos escritórios, veio uma interminável lista de riscos e brechas de segurança, muitas ainda a serem identificadas.
A rápida evolução das ciberameaças está criando uma onda ameaçadora na gestão de riscos e tornando obsoletas ferramentas e metodologias tradicionais de segurança da informação, forçando as empresas a revisarem não só os métodos, mas todos os aspectos organizacionais - procedimentos, políticas e priorizações - a curto prazo. Já os profissionais de segurança estão mudando a maneira de pensar em relação à gestão destes novos riscos cibernéticos.
Em vista do cenário, seguem algumas dicas:
- Modifique e expanda os limites estabelecidos para a gestão de riscos cibernéticos, a fim de ser capaz de ter
uma definição objetiva e clara, classificando adequadamente as novas ameaças e suas possíveis consequências.
- Interprete as normas, as melhores práticas, regulamentos e contratos com o objetivo de deixar claro os riscos
e suas consequências e o que é útil e aplicável, do ponto de vista operacional.
- Defina os riscos cibernéticos e suas contramedidas (e revise constantemente).
- Defina o seu próprio modelo de Gestão de Risco de Cibersegurança a fim de comparar os dados x ameaças cibernéticas (e constantemente atualize-o para manter em conformidade).
- Desenvolva a capacidade de medir, em tempo real, frequência e perigo de ameaças emergentes para que possa nutrir sua base de inteligência (Threat Intelligence), a fim de obter uma avaliação precisa do risco atual cibernético x sua realidade. Dentro deste item, avalie também atividades de compartilhamento de informações com seus colaboradores, CSIRTs, instituições e organizações como CERT, First e etc.
- Desenvolva e enriqueça informações sobre evolução das ameaças em relação ao seu modelo de Gestão de Riscos, considerando o que acontece dentro de sua organização através de monitoramento contínuo, para não repetir problemas conhecidos.
- Antecipe as ameaças cibernéticas através de processos bem estabelecidos para o gerenciamento proativo, rápido e decisivo dos incidentes que possam ocorrer.
- Certifique-se de que os resultados das análises não permaneçam restritos somente às áreas técnicas. Compartilhe-os deixando todos os envolvidos cientes dos problemas detectados durante a análise.
- Crie uma base de conhecimentos sobre as lições aprendidas durante a criação do modelo de gestão de risco em cibersegurança.
- Apresente os resultados para a alta direção e ao CSO para que seja realizada uma definição eficiente das estratégias a longo prazo, das metas e dos processos em relação aos riscos cibernéticos.
É fundamental que as pessoas e organizações passem a entender a verdadeira importância de trabalhar para manter a segurança dos dados pessoais e corporativos. Novos desafios para o setor de segurança da informação são lançados todos os dias, forçando especialistas de segurança a ampliarem ainda mais o perímetro de segurança da informação.
Quando não possível fazer isso tudo com equipe própria, uma vez que requer muito tempo e equipe especializada, a contratação de serviços gerenciados de segurança pode ser um caminho eficiente e que viabiliza os cuidados de cibersegurança necessários.