Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog da Tenable

Inscrever-se

O que as estratégias de resposta à COVID-19 nos dizem sobre a desconexão entre a segurança cibernética e o negócio

Enquanto organizações do mundo apressavam-se para desenvolver estratégias para responder à pandemia de COVID-19, um estudo independente de risco de negócios mostra que os líderes de segurança cibernética foram, em grande parte, deixados de fora.

A forma como as organizações planejam e gerenciam os riscos do negócio está entre as várias mudanças profundas que estão ocorrendo como resultado da pandemia mundial de COVID-19. Mesmo assim, muitos líderes de segurança cibernética ainda têm dificuldades para conquistar um lugar à mesa. 

De fato, um estudo conduzido pela Forrester Consulting em nome da Tenable revela uma desconexão alarmante entre os líderes de segurança cibernética e de negócios. Embora quase todos os participantes (96%) afirmem que suas organizações desenvolveram estratégias de resposta à COVID-19, 75% afirmam que as iniciativas de negócio e segurança estão apenas "um pouco" alinhadas, na melhor das hipóteses.

Isso é bastante preocupante em um momento em que a adoção repentina e generalizada de modelos de trabalho em casa em resposta à pandemia está resultando em uma enxurrada de dispositivos de usuários finais nas redes corporativas. Os desktops remotos, antes uma oferta interessante para um grupo selecionado de funcionários, agora são ferramentas essenciais usadas por inúmeros funcionários para manter as organizações em funcionamento. De repente, os funcionários estão se conectando aos principais sistemas e aplicativos de negócios usando seus próprios roteadores e redes domésticas nunca testados anteriormente — e possivelmente vulneráveis. A popularidade dos dispositivos de internet das coisas (IoT) faz deles possíveis vetores de ataque. A rede doméstica média pode ter a Alexa da Amazon ou outra ferramenta ativada por voz, TVs conectadas à internet, aparelhos de videogame e variados notebooks, tablets e telefones pertencentes a cônjuges, filhos ou outras pessoas da casa.

O Brookings Institute estima que, a partir de 9 de abril de 2020, até metade dos trabalhadores nos EUA estavam trabalhando de casa, o que chamamos de "mudança em larga escala". De fato, um estudo da Pew Research mostra que, antes da pandemia, apenas 7% dos trabalhadores civis nos Estados Unidos — aproximadamente 9,8 milhões dos cerca de 140 milhões desses trabalhadores no país — tinham acesso a um benefício de "local de trabalho flexível" ou opção de teletrabalho.

Já os criminosos cibernéticos estão em investida para tirar vantagem da superfície de ataque, que está crescendo exponencialmente. De acordo com o estudo da Forrester, em meados de abril de 2020, quatro em cada dez organizações (41%) já tinham sofrido pelo menos um ataque cibernético que afetou os negócios* como resultado de um esquema de phishing ou malware relacionado à COVID-19. Com base em uma pesquisa online com mais de 800 líderes de negócios e segurança cibernética de dez países, os dados são extraídos do estudo A Ascensão do Executivo de Segurança Alinhado ao Negócio

Os golpes relacionados à COVID foram a principal fonte de todos os ataques cibernéticos relatados no estudo que afetaram os negócios. Embora a Organização Mundial da Saúde tenha declarado a COVID-19 como pandemia apenas algumas semanas antes, no momento em que a pesquisa foi realizada, os ataques relacionados à COVID já haviam ultrapassado outros ataques que afetam os negócios, como fraude (40%), violação de dados (37%), ransomware (36%) e vulnerabilidades de software (34%).

Em nível pessoal, achei os resultados da pesquisa uma validação estranha: eles confirmam que eu não sou o único líder de segurança preocupado com essas tendências. Dois em cada três participantes da pesquisa da Forrester (67%) afirmam estar muito ou extremamente preocupados com a possibilidade de as mudanças na força de trabalho causadas pela COVID-19 aumentarem o nível de risco da sua organização. 

Para piorar as coisas, cerca de metade dos líderes de segurança cibernética (48%) pesquisados afirmam ter apenas visibilidade moderada ou não ter visibilidade dos seus funcionários remotos que estão trabalhando em casa.

Uma das principais formas de acabar com essa desconexão é as organizações incorporarem a segurança cibernética ao desenvolverem estratégias de gerenciamento de riscos. 

Como o gerenciamento de riscos pode ajudar você a se tornar um líder de segurança cibernética alinhado ao negócio 

CISOs, CSOs e outros líderes de segurança cibernética são perfeitos para assumir um papel mais proeminente no gerenciamento de riscos e nas disciplinas relacionadas de continuidade de negócios, recuperação de desastres e gerenciamento de crises. Nosso trabalho nos coloca diretamente na intersecção entre tecnologia e negócio. Temos visibilidade de todos os sistemas, dados e processos necessários para cumprir um plano de continuidade de negócios e recuperação de desastres. O envolvimento no gerenciamento de riscos também pode facilitar a administração do seu trabalho: se você for capaz de entender todos os seus processos e ativos críticos de uma ampla perspectiva de risco corporativo, a segurança cibernética ficará mais forte. 

Também há um benefício operacional claro com a realização de exercícios de gerenciamento de riscos, que podem atuar como uma ponte entre o negócio e a InfoSec da organização. O que for revelado no processo ajudará toda a organização a entender a melhor forma de priorizar os recursos humanos e financeiros para manter o negócio em funcionamento mesmo em tempos de crise.  

Sentara Healthcare: um estudo de caso de alinhamento eficaz

A Sentara Healthcare oferece um estudo de caso de alinhamento eficaz. Em uma entrevista para a Tenable, Dan Bowden, CISO da Sentara Healthcare, observou que, no início da pandemia, as equipes de TI e segurança da organização perceberam-se incumbidas de duas tarefas cruciais: viabilizar o trabalho remoto de um grande número de funcionários e ajudar a converter quartos regulares de hospital em quartos de unidade de terapia intensiva (UTI), trocando os sistemas de tecnologia operacional (OT) e Internet das Coisas (IoT) necessários para atender um fluxo repentino de pacientes gravemente doentes.

"Eu diria que, em março e abril, mais de 50% da nossa iniciativa total de trabalho foi dedicada a desenvolver os recursos dos quartos de UTI e descobrir como [poderíamos] usar a tecnologia para reduzir a queima de equipamentos de proteção individual (EPIs)", afirmou Bowden.

Embora as transições tenham, por fim, sido bem-sucedidas, o processo de aplicação de patches da organização acabou tornando-se uma completa desordem durante dois meses.

"Eu sou um CISO bastante agressivo em verificação de vulnerabilidades e minha equipe também", disse Bowden. "Nós temos uma política baseada em demanda em relação ao que acontece quando encontramos uma nova vulnerabilidade. E tivemos que ajustar um pouco nosso tempo de verificação de vulnerabilidades e nossa política de patches porque nossas equipes de TI estavam trocando os leitos nos hospitais. Um quarto [de hospital] regular é configurado de uma certa forma, sob a perspectiva de tecnologia. Quando o transformamos em um quarto de UTI, ocorre uma mudança em cascata em vários sistemas e aplicações de tecnologia. Nossas equipes de infraestrutura e aplicações estavam muito ocupadas mudando o pequeno número da superfície de leitos de UTI que oferecíamos para um número muito grande. Portanto, tivemos que descobrir como continuar cumprindo nosso cronograma de patches de modo que pudéssemos gerenciar os riscos com eficiência e eficácia. Para isso, contamos muito com o Vulnerability Priority Rating da Tenable. Nós provavelmente o usamos de forma muito mais agressiva nesse primeiro semestre do que no passado."

Em junho, o processo de aplicação de patches estava restabelecido. Agora, com a aproximação do quarto trimestre, Bowden depara-se com decisões orçamentárias significativas, pois muitos setores sofreram o impacto econômico da COVID-19. "Estamos tentando reduzir [as despesas operacionais] e voltar a cumprir o orçamento. Como podemos fazer de 2020 um ano de equilíbrio? Estamos muito focados nas atividades básicas, mas operações de portas abertas e nas novas solicitações que possam surgir em decorrência de variações na propagação da COVID-19."

Bowden acrescenta: "Temos uma equipe de liderança muito progressista, que pede a todos nós: 'sejam criativos, ajudem-nos a descobrir como podemos crescer em meio a tudo isso'.Temos alguns projetos grandes para abordar isso também." 

Como mostrar o retorno dos investimentos em segurança cibernética

Em um momento em que as organizações do mundo todo enfrentam um período de incerteza econômica possivelmente longo, a priorização dos investimentos com base no risco torna-se mais crítica do que nunca.O estudo da Forrester mostra que, quando a segurança e o negócio estão alinhados, entregam resultados notáveis. Por exemplo, 85% dos líderes de segurança alinhados ao negócio têm métricas para rastrear o ROI de segurança cibernética e o impacto no desempenho dos negócios, em comparação com apenas um quarto (25%) de seus pares mais isolados e reativos de outras áreas.O líder de segurança alinhado aos negócios tem oito vezes mais chances do que seus pares mais isolados de estarem confiantes em sua capacidade de relatar o nível de segurança ou risco de suas organizações.E a grande maioria (86%) tem um processo que articula claramente as expectativas e demonstra a melhoria contínua dos processos, em comparação com apenas 32% de seus pares mais isolados e reativos. 

Envolver-se no desenvolvimento da estratégia de Enterprise Risk Management (ERM) da sua organização coloca você no rumo certo para se tornar um líder em segurança cibernética alinhado ao negócio.

Estas seis etapas ajudarão você com a identificação e a avaliação inicial do risco corporativo:

  1. Desenvolva e distribua uma pesquisa de avaliação de risco às principais partes interessadas. Essa pesquisa é normalmente enviada para o nível de diretoria sênior e cargos acima e deve incluir representantes de todos os grandes departamentos da organização, como financeiro, jurídico, recursos humanos, tecnologia da informação, segurança da informação, vendas, operações, marketing e P&D. Assim que a pesquisa for concluída, você deverá organizar as respostas em categorias de risco para que seja possível compilar um inventário dos riscos corporativos.
  2. Conduza a pesquisa e a análise para comparar os riscos corporativos da sua organização com as pesquisas de risco do setor.
  3. Desenvolva uma metodologia de avaliação de riscos, incluindo probabilidade e impacto, para obter uma classificação do risco total. 
  4. Identifique os principais líderes da sua organização e reserve um tempo para entrevistá-los e obter um feedback sobre os riscos e a priorização, bem como a probabilidade e o impacto dos riscos.
  5. Apresente os resultados da avaliação de risco aos executivos para finalizar os principais riscos e designar os responsáveis pelos riscos executivos.
  6. Trabalhe com os responsáveis pelos riscos executivos para identificar atividades de mitigação para os principais riscos.

A execução das etapas acima é um exercício trabalhoso, mas que rende um alto grau de benefícios ao lhe oferecer um conjunto claro de prioridades. Você terá uma lista acordada de riscos corporativos. Embora a segurança cibernética provavelmente seja seu próprio risco corporativo autônomo, ela com certeza afetará muitos ou todos os riscos corporativos de alguma forma. 

Combine a avaliação de risco corporativo com uma análise de impacto ao negócio — essencial à continuidade dos negócios e à recuperação de desastres para determinar os sistemas e os processos de negócios críticos, cuja ausência mais prejudicaria a organização — e os dois atuarão como uma base para o desenvolvimento de uma estratégia de segurança cibernética alinhada ao negócio.Você extrairá uma lista dos seus processos e riscos corporativos mais críticos, tornando igualmente possível priorizar de forma clara as respostas em um momento de crise, independentemente de a crise advir de um ataque cibernético, de um desastre natural ou de uma pandemia mundial, e na retomada das operações normais do negócio. 

Em épocas de estabilidade, é muito fácil para as organizações tratarem o gerenciamento de riscos corporativos como um mero exercício de assinalar com X, perfeito nas mãos de uma equipe segregada de profissionais de risco. Com a COVID-19, os líderes de negócio e de tecnologia se viram inscritos em um curso intensivo de gerenciamento de crises. Depende de cada um de nós encarar este momento como uma oportunidade para repensar nossa abordagem ao risco corporativo de modo a estarmos mais bem preparados para os tempos de crise e bem posicionados para colhermos os benefícios quando as coisas estiverem indo bem. 

Leia a série do blog: Como tornar-se um líder de segurança cibernética alinhado ao negócio

As postagens anteriores desta série focavam nos desafios de alinhar a segurança cibernética e o negócio e em por que os líderes da segurança cibernética têm tanta dificuldade para responder à pergunta: "Qual é nosso nível de segurança?". Também examinamos o que as estratégias de resposta à COVID-19 revelam sobre a desconexão entre a área cibernética e o negócio, discutimos por que as métricas de segurança cibernética existentes são insuficientes para comunicar o risco cibernético e exploramos cinco etapas para chegar a um alinhamento com o negócio. e fornecemos uma visão sobre um dia na vida de um líder de segurança cibernética alinhado ao negócio.

Saiba mais:

*Para os fins desta pesquisa, "afetar os negócios" refere-se a um ataque cibernético ou comprometimento que resulte em uma ou mais das seguintes opções: na perda de dados de clientes, de funcionários ou outros dados confidenciais; interrupção das operações diárias; pagamento de ransomware; perda ou roubo financeiro; e/ou roubo de propriedade intelectual.

Artigos relacionados

As notícias de segurança cibernética mais relevantes

Informe seu e-mail e nunca mais perca os alertas oportunos e orientações de segurança dos especialistas da Tenable.

Tenable Vulnerability Management

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

Sua avaliação do Tenable Vulnerability Management também inclui o Tenable Lumin e o Tenable Web App Scanning.

Tenable Vulnerability Management

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

100 ativos

Escolha sua opção de assinatura:

Compre já

Tenable Vulnerability Management

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

Sua avaliação do Tenable Vulnerability Management também inclui o Tenable Lumin e o Tenable Web App Scanning.

Tenable Vulnerability Management

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

100 ativos

Escolha sua opção de assinatura:

Compre já

Tenable Vulnerability Management

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

Sua avaliação do Tenable Vulnerability Management também inclui o Tenable Lumin e o Tenable Web App Scanning.

Tenable Vulnerability Management

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

100 ativos

Escolha sua opção de assinatura:

Compre já

Experimente o Tenable Web App Scanning

Aproveite o acesso total à nossa mais recente oferta de verificação de aplicações Web, projetada para aplicações modernas, como parte da Plataforma de gerenciamento de exposição Tenable One. Verifique com segurança em busca de vulnerabilidades em todo o seu portfólio on-line com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Sua avaliação do Tenable Web App Scanning também inclui o Tenable Vulnerability Management e o Tenable Lumin.

Comprar o Tenable Web App Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Avalie o Tenable Lumin

Visualize e explore o gerenciamento de exposição, acompanhe a redução de riscos ao longo do tempo e faça comparações com seus pares por meio do Tenable Lumin.

Sua avaliação do Tenable Lumin também inclui o Tenable Vulnerability Management e o Tenable Web App Scanning.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Tenable Lumin pode ajudar você a obter insights em toda a sua organização e gerenciar o risco cibernético.

Experimente o Tenable Nessus Professional gratuitamente

GRATUITO POR POR 7 DIAS

O Tenable Nessus é o verificador de vulnerabilidade mais abrangente do mercado atualmente.

NOVIDADE: Tenable Nessus Expert
Já disponível

O Nessus Expert adiciona ainda mais recursos, incluindo verificação de superfície de ataque externa e a capacidade de adicionar domínios e verificações de infraestrutura em nuvem. Clique aqui para testar o Nessus Expert.

Preencha o formulário abaixo para continuar com uma avaliação do Nessus Pro.

Comprar o Tenable Nessus Professional

O Tenable Nessus é o verificador de vulnerabilidade mais abrangente do mercado atualmente. O Tenable Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos ciclos de conformidade e permitir que você envolva sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte e treinamento

Experimente o Tenable Nessus Expert gratuitamente

GRÁTIS POR 7 DIAS

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Já adquiriu o Tenable Nessus Professional?
Atualize para o Nessus Expert gratuitamente por 7 dias.

Comprar o Tenable Nessus Expert

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Selecione sua licença

Compre uma licença para vários anos e economize mais.

Adicionar suporte e treinamento