Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog da Tenable

Inscrever-se

Por que os líderes de segurança cibernética têm dificuldades para responder à pergunta "Até que ponto estamos seguros?"

Um estudo independente de risco aos negócios mostra que a segurança cibernética raramente está totalmente integrada à estratégia de negócios, mas deveria estar.

Imagine este cenário: uma vulnerabilidade notável foi revelada. Ela está em todas as notícias e mídias sociais e envolve o software que está sendo usado por quase todas as empresas do planeta. A diretoria está exigindo respostas e seus altos executivos estão alarmados. A CEO convoca uma reunião de emergência e a primeira pergunta que ela faz é: “Até que ponto estamos seguros?”.

Você está preparado para responder?

Se estiver, você é um dos sortudos. De acordo com um estudo conduzido pela Forrester Consulting em nome da Tenable, apenas quatro em cada dez líderes de segurança dizem que podem responder à pergunta: “Qual é nosso nível de segurança?" com um alto nível de confiança. 

Se você já gastou mais de um minuto lidando com segurança cibernética, sabe por que responder a esta pergunta é muito mais desafiador do que pode parecer. 

Claro, você pode fornecer dados sobre quantos sistemas são afetados e com que rapidez sua equipe pode corrigi-los, mas todos esses dados não vão dar à CEO as respostas que ela está procurando. O que ela realmente quer saber é: nossa capacidade de entregar o valor principal de nosso negócio será afetada negativamente como resultado dessa vulnerabilidade? 

O estudo encomendado pela Forrester, que se baseia em uma pesquisa com 416 executivos de segurança e 425 executivos de negócios em dez países, revela uma desconexão em como as empresas entendem e gerenciam o risco cibernético. De acordo com o estudo, A Ascensão do Executivo de Segurança Alinhado ao Negócio, uma estatística alarmante de 66% dos líderes de negócios têm, no máximo, apenas um pouco de confiança na capacidade de sua equipe de segurança de quantificar o nível de risco ou segurança de sua organização. O estudo também revela que:

  • Menos de 50% dos líderes de segurança incluem o impacto de ameaças à segurança cibernética no contexto de um risco de negócio específico. 
  • Apenas metade dos líderes de segurança (51%) afirmam que sua organização de segurança trabalha com as partes interessadas para alinhar os objetivos de custo, de desempenho e de redução de riscos às necessidades da empresa.
  • Apenas 43% dos líderes de segurança relatam analisar regularmente as métricas de desempenho da organização de segurança com as partes envolvidas.
  • Menos da metade dos líderes de segurança (47%) consultam executivos de negócio com muita frequência ao desenvolver sua estratégia de segurança cibernética. Por outro lado, quatro em cada dez executivos de negócio (42%) raramente ou quase nunca consultam os líderes de segurança ao desenvolver as estratégias de negócio de suas organizações.
  • Apenas 54% dos líderes de segurança e 42% dos executivos de negócio afirmam que suas estratégias de segurança cibernética estão completa ou intimamente alinhadas às metas de negócio. 

“O maior desafio ao falar com líderes de negócio é tentar evitar a linguagem técnica e manter o foco no negócio ou ser capaz de traduzir a linguagem tecnológica em uma linguagem de negócios”, afirma Kevin Kerr, CISO do Oak Ridge National Laboratory em Oak Ridge, TN, em uma entrevista com a Tenable. “Se você não entende o negócio, não consegue fazer isso. Você precisa compreender onde residem os medos, o que eles acham que as ameaças são e o que acham que é importante. Se você entende o negócio deles, sabe o que estão tentando fazer, o que estão tentando proteger e o que estão tentando monetizar, consegue apresentar a melhor maneira de fazer isso com segurança para atender aos padrões pelos quais você deve ser responsabilizado ao mesmo tempo em que os executivos podem realizar negócios livremente.”

Compreensão do contexto de negócio

Chegar ao contexto de risco cibernético do negócio não é fácil, e as respostas variam de uma organização para outra. 

“Risco é um termo que os executivos de negócios conhecem e temem e também é bem conhecido na segurança cibernético”, explica Cesar Garza, CISO da Home Depot Mexico em San Pedro, México. “Nós, profissionais de segurança cibernética, lidamos com riscos a cada minuto: vulnerabilidades, falhas de código, o fator humano, processos interrompidos, tecnologia obsoleta, configurações incorretas etc. O risco é o fator comum entre a segurança cibernética e os executivos de negócios, o denominador comum. Mesmo assim, é um desafio traduzir os riscos de segurança cibernética em riscos de negócios que precisam ser compreendidos pelos executivos. Em alguns casos, precisamos imaginar o pior cenário possível e conversar sobre preocupações como multas, danos à marca e perda da lealdade do cliente para realmente passar a mensagem. Por isso, eu gosto de dizer que é importante falar sobre riscos para que possamos entender nossos investimentos em segurança cibernética."

A fim de fornecer contexto de negócios, os líderes de segurança e de gestão de risco devem primeiro ser capazes de responder a duas perguntas principais:

  1. Qual é a criação de valor central da sua organização? Na produção, a resposta pode ser fabricar e vender widgets para obter lucro. Na área da saúde, a resposta pode ser fornecer cuidados médicos aos pacientes. No governo, a resposta pode ser fornecer um serviço ao público, como emissão de carteira de motorista ou descarte adequado do lixo. 
  2. Quais de seus ativos de TI são cruciais para entregar essa criação de valor central? Por exemplo, há algum sistema ERP, aplicativo ou banco de dados de registros médicos que, se ficar off-line, faria com que suas operações de negócio parassem? Existem grupos de usuários cujos computadores, se comprometidos, exporiam propriedade intelectual importante ou dados confidenciais que poderiam impedir a organização de entregar esse valor central? Existe um ambiente de nuvem que, se ficar off-line, pode inviabilizar um serviço da Web importante voltado para o cliente, como internet banking ou site de comércio eletrônico?

“É importante ter boas parcerias de negócios ou contato com vários líderes de negócio para entender quais são as iniciativas que estão acontecendo com os negócios”, explica Rick Vadgama, VP e CISO de uma plataforma global de viagens em Needham, MA, em uma entrevista com a Tenable. “Se eles perdessem um sistema ou uma função, como isso afetaria o fluxo de receita? Com base nisso, saberíamos, de uma perspectiva de segurança, onde devemos gastar esforço e tempo para garantir que temos uma boa leitura de todos os ativos que compõem esse sistema e entender quais são as vulnerabilidades. Como líderes de InfoSec, nossos ambientes são muito vastos. Trabalhando de verdade com os líderes de negócios, você ouve em primeira mão o que eles definem como principais sistemas sem os quais não podem viver. Com essa informação, é possível tomar medidas.”

Embora melhorar sua compreensão do contexto de negócios seja crucial, também é importante reconhecer que, mesmo com esse conhecimento, há limites para o gerenciamento de ativos existente e os bancos de dados de configuração. Para começar, inventários de ativos e gerenciamento de configuração são operações bastante estáticas. Em minha experiência, a maioria das organizações limita-se a conduzir uma avaliação de risco anual ou análise de impacto de negócios em funções críticas de negócios. Essa abordagem estática dificilmente é suficiente para capturar as realidades da superfície de ataque moderna, que compreende uma mistura dinâmica de TI local e baseada na nuvem, internet das coisas (IoT) e tecnologia operacional. 

Por exemplo, na maioria das grandes organizações, os serviços em nuvem aumentam e diminuem todos os dias conforme a necessidade. Ativos de computação são adicionados e removidos constantemente conforme os funcionários entram ou saem de uma organização. Aplicativos e software são continuamente implementados e atualizados conforme as necessidades de negócio mudam. E, em resposta à pandemia da COVID-19, um grande número de funcionários em todo o mundo mudou para um modelo de trabalho em casa que provavelmente estabelecerá um novo paradigma para o funcionamento das empresas. Com os negócios de hoje avançando no ritmo do comércio digital, os inventários de ativos não conseguem acompanhar o ritmo. Os líderes de segurança devem usar as ferramentas à sua disposição para desenvolver uma compreensão tão abrangente quanto possível da criticidade dos ativos. 

“O ritmo de crescimento pelo qual estamos passando, que é especialmente relevante em um setor que em geral cresce de forma inorgânica, juntamente com a ambiguidade ao realizar avaliações de risco qualitativas, estão entre nossos maiores desafios como profissionais de segurança”, explica Jose Maria Labernia Salvador, chefe de segurança de TI e controle interno da LafargeHolcim IT EMEA em Madrid, em entrevista à Tenable.

Além de fazer o trabalho de identificar seus ativos críticos de negócios, você também deve ser capaz de priorizar quais das dezenas de milhares de ameaças e vulnerabilidades que sua organização enfrenta a cada ano realmente representam o maior risco para esses ativos essenciais. Os líderes de segurança precisam equilibrar a ameaça de uma vulnerabilidade ou método de ataque com o impacto da correção ou mitigação nos negócios. Basicamente, você precisa entender seu nível de exposição ao problema, com que rapidez pode resolvê-lo usando os processos robustos em vigor e que efeito isso teria no valor essencial do seu negócio em comparação com não tomar nenhuma medida.

Quando a próxima manchete sobre uma vulnerabilidade chegar até a diretoria, você estará pronto?

Afinal, os alto executivos muito provavelmente não são especialistas em segurança cibernética e, é claro, não são especialistas em vulnerabilidade. Tudo o que eles realmente querem saber é: qual é o impacto de nossa prática de segurança cibernética no negócio de criação de valor? Uma abordagem alinhada aos negócios, na qual você pode avaliar com segurança quantas vulnerabilidades são críticas para os ativos que têm o maior impacto em suas áreas principais de negócios, permite que você desenvolva uma resposta clara para a pergunta "Qual é nosso nível de segurança?”. 

Leia a série do blog: Como tornar-se um líder de segurança cibernética alinhado ao negócio

As postagens anteriores desta série focavam nos desafios de alinhar a segurança cibernética e o negócio e em por que os líderes da segurança cibernética têm tanta dificuldade para responder à pergunta: "Qual é nosso nível de segurança?". Também examinamos o que as estratégias de resposta à COVID-19 revelam sobre a desconexão entre a área cibernética e o negócio, discutimos por que as métricas de segurança cibernética existentes são insuficientes para comunicar o risco cibernético e exploramos cinco etapas para chegar a um alinhamento com o negócio. e fornecemos uma visão sobre um dia na vida de um líder de segurança cibernética alinhado ao negócio.

Saiba mais:

Artigos relacionados

Você está vulnerável às últimas explorações?

Insira seu e-mail para receber os alertas de cyber exposure mais recentes em sua caixa de entrada.

tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte e treinamento

Tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste o Tenable.io Web Application Scanning

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste o Tenable.io Container Security

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Avalie o Tenable Lumin

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.

Experimente o Tenable.cs

Aproveite o acesso completo para detectar e corrigir erros de configuração da infraestrutura da nuvem e ver vulnerabilidades no tempo de execução. Inscreva-se para uma avaliação gratuita agora mesmo.

Entre em contato com um representante de vendas para comprar o Tenable.cs

Entre em contato com um representante de vendas para saber mais sobre o Tenable.cs Cloud Security e veja como é fácil integrar suas contas na nuvem e obter visibilidade das configurações incorretas e vulnerabilidades da nuvem em questão de minutos.

Teste o Nessus Expert gratuitamente

GRÁTIS POR 7 DIAS

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Já tem uma licença do Nessus Professional?
Atualize para o Nessus Expert gratuitamente por 7 dias.

Comprar o Nessus Expert

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte