Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070
Ebook da Tenable

Como tornar-se um líder de segurança alinhado ao negócio

Introdução: o futuro pertence ao executivo de segurança alinhado ao negócio


Introdução: o futuro pertence ao executivo de segurança alinhado ao negócio

A má notícia? Há uma desconexão entre negócios e segurança cibernética. A boa notícia? Alinhá-los pode fazer toda a diferença.

Se você atua como CISO, CSO ou outro tipo de líder de segurança cibernética há algum tempo, é provável que um CEO, membro do conselho ou outro executivo sênior pergunte "Qual é nosso nível de segurança?" com bastante frequência, e você sabe que responder a essa pergunta não é tão fácil quanto parece.

No momento em que os riscos corporativos estão em constante mudança, como pandemias, desacelerações econômicas e trabalho remoto, as ameaças e os ataques cibernéticos que prosperam em todo o mundo não apenas amplificam cada risco, mas também colocam a segurança cibernética na pauta de discussão da diretoria. No entanto, aqueles que estão na linha de frente enfrentam uma série de desafios, tornando difícil apresentar aos líderes de negócios uma imagem clara da postura de segurança cibernética da organização.

Com o objetivo de abordar alguns desses principais desafios e ajudar os líderes de segurança a iniciar um diálogo significativo com seus colegas de negócios, a Tenable contratou a Forrester Consulting para realizar uma pesquisa on-line com 416 executivos de segurança e 425 executivos de negócios e um estudo baseado nas conclusões para examinar estratégias e práticas de segurança cibernética em empresas de médio e grande porte. O resultado do estudo, A Ascensão do Executivo de Segurança Alinhado ao Negócio, revelou uma desconexão entre as expectativas dos negócios e as realidades que os líderes de segurança enfrentam. Porém, ele também revelou a grande oportunidade única que as empresas digitais provavelmente enfrentam hoje: elevar o papel do CISO ao mesmo patamar de outras funções executivas.

O futuro pertence ao líder de segurança cibernética alinhado ao negócio

O estudo revela quatro pontos principais:

  1. As ameaças à segurança cibernética prosperam em meio a um clima de incerteza, tornando-se um tópico digno de visibilidade para a diretoria. A grande maioria das organizações (94%) já sofreu um ataque cibernético ou comprometimento que afetou o negócio* nos últimos 12 meses. Cerca de dois terços (65%) afirmaram que o ataque envolveu ativos de tecnologia operacional (OT).
  2. Os líderes de negócios querem uma imagem clara da postura de segurança cibernética de suas organizações, mas seus colegas de segurança têm dificuldades para apresentar uma. Apenas quatro a cada dez líderes de segurança afirmam poder responder à pergunta "Qual é nosso nível de segurança?" com um alto nível de confiança. A falta de dados consolidados e de um contexto de negócio associado aumentam os desafios enfrentados pelos tomadores de decisão de segurança cibernética.
  3. A forma como as empresas entendem os riscos cibernéticos é diferente da forma como os gerenciam. Menos de 50% dos líderes de segurança incluem o impacto de ameaças à segurança cibernética no contexto de um risco de negócio específico. Apenas metade dos líderes de segurança (51%) afirma que sua organização de segurança trabalha com as partes interessadas da empresa para alinhar os objetivos de custo, de desempenho e de redução de riscos às necessidades da empresa. Apenas quatro em cada dez líderes de segurança (43%) relatam que revisam regularmente as métricas de desempenho da organização de segurança com as partes interessadas do negócio.
  4. A segurança cibernética precisa ser consolidada como uma estratégia de risco de negócio. Isso não pode acontecer até que os líderes de segurança tenham melhor visibilidade de sua superfície de ataque. Pouco mais da metade dos líderes de segurança relatam que sua organização de segurança tem uma compreensão e avaliação holísticas de toda a superfície de ataque da organização, e menos de 50% das organizações de segurança estão usando métricas contextuais de ameaças para calcular o risco cibernético de suas organizações. Isso significa que a capacidade de analisar riscos cibernéticos e priorizar e executar a correção com base na criticidade dos negócios e no contexto de ameaças é limitada.

O estudo mostra que, quando os líderes de segurança e de negócio estão alinhados com os dados de risco de negócios acordados, os resultados apresentados são significativos e evidentes. O líder de segurança alinhado ao negócio tem oito vezes mais chances do que seus pares mais isolados de estar confiante em sua capacidade de relatar o nível de segurança ou risco de suas organizações. Ainda mais notável no clima econômico de hoje, com uma crise econômica global, levando as organizações a reavaliar seus gastos:85% dos líderes de segurança alinhados ao negócio têm métricas para rastrear o ROI de segurança cibernética e o impacto no desempenho dos negócios em comparação com apenas 25% de seus pares mais isolados e reativos de outras áreas.

Como Dan Bowden, o CISO da Sentara Healthcare, observou em uma entrevista com a Tenable no ano passado: "No clima atual, a sociedade volta seu foco para empresas que gerenciam melhor os riscos. As equipes de liderança e os conselhos administrativos de todas as organizações querem fazer parte da história de correção do problema. Se você conseguir fornecer dados válidos sobre a exposição e sobre o que realmente precisamos fazer, eles compreenderão os dados e conseguirão identificar-se com eles. Eles querem fazer parte da história, para ajudar você a solucionar o problema e gerenciar melhor os riscos."

"No clima atual, a sociedade volta seu foco para empresas que gerenciam melhor os riscos. As equipes de liderança e os conselhos administrativos de todas as organizações querem fazer parte da história de correção do problema." — Dan Bowden, CISO da Sentara Healthcare

Para alcançar esse alinhamento, os CISOs e outros líderes de segurança e gerenciamento de riscos precisam da combinação certa de tecnologia, dados, processos e pessoas. Por exemplo, a grande maioria das organizações alinhadas ao negócio (80%) conta com um BISO (Diretor de segurança da informação empresarial) ou cargo semelhante, em comparação com apenas 35% de seus concorrentes menos alinhados. O estudo também revelou que os líderes de segurança alinhado aos negócio superam seus pares mais reativos e isolados na automação dos principais processos de avaliação de vulnerabilidades por margens de +49 a +66 pontos percentuais.

Nos próximos capítulos, exploraremos essas e outras descobertas do estudo e explicaremos como a Tenable pode ajudar sua organização a enfrentar os desafios de tecnologia e dados que estão por trás dessa desconexão. No Capítulo 1, nos aprofundamos nos muitos desafios que os líderes de segurança enfrentam ao responder à pergunta "Qual é nosso nível de segurança?". O Capítulo 2 apresenta uma visão dos "resumos das manchetes" de como as organizações reagiram à COVID-19 para articular como a desconexão entre a área cibernética e o negócio se manifesta na vida real. No Capítulo 3, discutimos como as métricas de segurança cibernética existentes deixam de oferecer aos CISOs e outros líderes de segurança os dados necessários para abordar os riscos ao negócio. E o Capítulo 4 e o Capítulo 5 discutem o que é uma prática de segurança cibernética alinhada ao negócio e como você pode começar a estabelecer uma em sua organização, juntamente com dicas e recomendações para transformar sua própria função em um líder de segurança cibernética alinhado ao negócio.

—Robert Huber, Chief Security Officer da Tenable *Para a finalidade deste estudo, "afetar os negócios" refere-se a um ataque cibernético ou comprometimento que resulta em uma ou mais entre as seguintes opções: perda de dados de clientes, de funcionários ou outros dados confidenciais; interrupção das operações diárias; pagamento de ransomware; perda ou roubo financeiro; e/ou roubo de propriedade intelectual.

Como as organizações podem calcular objetivamente o risco cibernético

Ao adotar as práticas recomendadas de gerenciamento de Cyber Exposure , as organizações podem reduzir os silos funcionais de forma mais efetiva e introduzir uma linguagem comum para discutir o risco — linguagem essa que seja compreendida pelas equipes de negócios e de segurança. Com a Tenable, as organizações conseguem avaliar, gerenciar e, em última instância, reduzir o risco cibernético em toda a superfície de ataque moderna de forma holística. A Cyber Exposure oferece os meios para que as organizações calculem objetivamente o risco cibernético — internamente e em comparação com empresas semelhantes do setor — para ajudar a embasar a tomada de decisão estratégica e alinhar melhor as iniciativas de segurança com os objetivos do negócio. Assim como outras funções têm um sistema de registro, como gerenciamento de serviços de tecnologia da informação (ITSM) para TI e gerenciamento de relacionamento com o cliente (CRM) para venda, a Tenable pode atuar como um sistema de registro para gerenciar e calcular o risco cibernético como um risco do negócio de forma efetiva.

Saiba mais

Capítulo 1: Por que os líderes de segurança cibernética têm dificuldades para responder à pergunta "Qual é nosso nível de segurança?"


Capítulo 1: Por que os líderes de segurança cibernética têm dificuldades para responder à pergunta "Qual é nosso nível de segurança?"

A segurança cibernética raramente é totalmente integrada à estratégia do negócio — e precisa ser.

Imagine este cenário: uma vulnerabilidade notável foi revelada. Ela está em todas as notícias e mídias sociais e envolve o software que está sendo usado por quase todas as empresas do planeta. A diretoria está exigindo respostas e seus altos executivos estão alarmados. A CEO convoca uma reunião de emergência e a primeira pergunta que ela faz é: "Qual é nosso nível de segurança?".

Você está preparado para responder?

Se estiver, você é um dos sortudos. O estudo da Forrester Consulting, A Ascensão do Executivo de Segurança Alinhado ao Negócio, revela que apenas quatro em cada dez líderes de segurança afirmam poder responder à pergunta: "Qual é nosso nível de segurança?" com um alto nível de confiança.

Se você gastou mais de um minuto lidando com segurança cibernética, sabe por que responder a esta pergunta é muito mais desafiador do que pode parecer.

Claro, você pode fornecer dados sobre quantos sistemas são afetados e com que rapidez sua equipe pode corrigir, mas todos esses dados não vão dar à CEO as respostas que ela está procurando. O que ela realmente quer saber é: nossa capacidade de entregar o valor principal de nosso negócio será afetada negativamente como resultado dessa vulnerabilidade?

Afinal, os altos executivos muito provavelmente não são especialistas em segurança cibernética e certamente não são especialistas em vulnerabilidades. Tudo o que eles realmente querem saber é: qual é o impacto da nossa prática de segurança cibernética no negócio de criação de valor?

O estudo da Forrester Consulting revela uma diferença em como as empresas entendem e gerenciam os riscos cibernéticos.Por exemplo, o alarmante número de 66% dos líderes de negócio tem, no máximo, apenas um pouco de confiança na capacidade da equipe de segurança de quantificar o nível de risco ou segurança da organização.O estudo também revela que:

  • Menos de 50% dos líderes de segurança incluem o impacto de ameaças à segurança cibernética no contexto de um risco empresarial específico.
  • Apenas metade dos líderes de segurança (51%) afirmam que sua organização de segurança trabalha com as partes interessadas para alinhar os objetivos de custo, de desempenho e de redução de riscos às necessidades da empresa.
  • Apenas 43% dos líderes de segurança relatam revisar as métricas de desempenho da organização regularmente com as partes interessadas do negócio.
  • Menos da metade dos líderes de segurança (47%) consultam executivos de negócio com muita frequência ao desenvolver sua estratégia de segurança cibernética. Por outro lado, quatro em cada dez executivos de negócio (42%) raramente ou quase nunca consultam os líderes de segurança ao desenvolver as estratégias de negócio de suas organizações.
  • Apenas 54% dos líderes de segurança e 42% dos executivos de negócio afirmam que suas estratégias de segurança cibernética estão completa ou intimamente alinhadas às metas de negócio.

Compreensão do contexto de negócio

Chegar ao contexto de risco cibernético do negócio não é fácil, e as respostas variam de uma organização para outra. A fim de fornecer contexto de negócios, os líderes de segurança e de gestão de riscos devem primeiro ser capazes de responder a duas perguntas principais:

  1. Qual é a principal razão de existência da sua organização? Na produção, a resposta pode ser fabricar e vender widgets para obter lucro. Na área da saúde, a resposta pode ser fornecer cuidados médicos aos pacientes. No governo, a resposta pode ser fornecer um serviço ao público, como emissão de carteira de motorista ou descarte adequado do lixo.
  2. Entre seus ativos de TI, quais são cruciais para cumprir essa razão para existir? Por exemplo, há algum sistema ERP, aplicativo ou banco de dados de registros médicos que, se ficar offline, faria com que as operações de negócio parassem? Existem grupos de usuários cujos computadores, se comprometidos, exporiam propriedade intelectual importante ou dados confidenciais que poderiam impedir a organização de entregar esse valor central? Existe um ambiente de nuvem que, se ficar offline, pode inviabilizar um serviço da Web importante voltado para o cliente, como internet banking ou site de comércio eletrônico?

Faça download do estudo completo: A Ascensão do Executivo de Segurança Alinhado ao Negócio

Um estudo encomendado com mais de 800 líderes de negócios e de segurança cibernética em todo o mundo, realizado pela Forrester Consulting

Faça já o download
Faça download do estudo completo: A Ascensão do Executivo de Segurança Alinhado ao Negócio

Os bancos de dados de gerenciamento e configuração de ativos existentes são suficientes apenas até certo ponto para responder a essas perguntas de negócio. Para começar, inventários de ativos e gerenciamento de configuração são operações bastante estáticas. A maioria das organizações limita-se a conduzir uma avaliação de risco anual ou análise de impacto de negócios em funções críticas de negócios. Essa abordagem estática dificilmente é suficiente para capturar as realidades da superfície de ataque moderna, que compreende uma mistura dinâmica de TI local e baseada na nuvem, internet das coisas (IoT) e tecnologia operacional (OT).

Os bancos de dados de gerenciamento e configuração de ativos existentes são suficientes apenas até certo ponto para responder a perguntas de negócios.

Por exemplo, na maioria das grandes organizações, os serviços em nuvem aumentam e diminuem todos os dias conforme a necessidade. Ativos de computação são adicionados e removidos constantemente conforme os funcionários entram ou saem de uma organização. Aplicativos e software são continuamente implementados e atualizados conforme as necessidades de negócio mudam. E, em resposta à pandemia da COVID-19, um grande número de funcionários em todo o mundo mudou para um modelo de trabalho em casa que provavelmente estabelecerá um novo paradigma para o funcionamento das empresas. Com os negócios de hoje avançando no ritmo do comércio digital, os inventários de ativos não conseguem acompanhar o ritmo. Os líderes de segurança devem usar as ferramentas à sua disposição para desenvolver uma compreensão tão abrangente quanto possível da criticidade dos ativos.

Além de fazer o trabalho de identificar seus ativos críticos de negócios, você também deve ser capaz de priorizar quais das dezenas de milhares de ameaças e vulnerabilidades que sua organização enfrenta a cada ano realmente representam o maior risco para esses ativos essenciais. Os líderes de segurança precisam equilibrar a ameaça de uma vulnerabilidade ou método de ataque com o impacto da correção ou mitigação nos negócios. Basicamente, você precisa entender seu nível de exposição ao problema, com que rapidez pode resolvê-lo usando os processos robustos em vigor e que efeito isso teria no valor essencial do seu negócio em comparação com não tomar nenhuma medida.

Quando a próxima manchete de vulnerabilidade chamar a atenção da diretoria, você estará pronto?

Afinal, os altos executivos muito provavelmente não são especialistas em segurança cibernética e certamente não são especialistas em vulnerabilidades. Tudo o que eles realmente querem saber é: qual é o impacto da nossa prática de segurança cibernética no negócio de criação de valor? Uma abordagem alinhada aos negócios, na qual você pode avaliar com segurança quantas vulnerabilidades são críticas para os ativos que têm o maior efeito em suas áreas principais de negócios, permite que você desenvolva uma resposta clara para a pergunta "Qual é nosso nível de segurança?".

Como se preparar para responder "estamos em risco?"

Como diria qualquer pessoa da área de segurança da informação: "Não é possível proteger aquilo que você não sabe que tem".É difícil obter um entendimento básico do risco cibernético sem uma compreensão completa dos ativos do seu ambiente. Além disso, se você não entende o papel que cada ativo tem nas funções críticas do negócio, é impossível calcular o impacto de desligar um sistema para corrigir uma vulnerabilidade ou decidir se vale a pena até mesmo abordar um sistema específico. Por onde você deve começar?

  1. Entenda o ambiente de negócios. Trabalhe com seus parceiros de negócios para entender, identificar e priorizar os serviços e as aplicações que precisam de proteção. Se tudo é importante, nada é. Sem essas informações, não é possível discernir quais partes do negócio podem ser afetadas por uma exploração e será quase impossível saber com quem você precisa trabalhar caso surja um problema.
  2. Avalie seus ativos continuamente. A maioria dos scanners legados foi desenvolvida para ambientes tradicionais de TI e não foi projetada para detectar vulnerabilidades nos aspectos mais dinâmicos da superfície de ataque moderna, incluindo ambientes de nuvem, OT e contêineres. Você deve fazer um upgrade para uma solução abrangente que ofereça verificação ativa, monitoramento passivo, agentes, conectores e integrações para avaliar o máximo possível do seu ambiente, independentemente de onde estão os ativos, em que ambiente eles estão, se estão ou não no escopo de auditoria ou com que frequência estão conectados à rede.
  3. Inclua contexto de negócios, marcando ativos com metadados descritivos. Use tags para identificar ativos críticos ao negócio. A marcação permite calcular o risco por entidade contábil (que "trabalho" esses ativos comportam?) ou por equipe (com quem preciso trabalhar para corrigir possíveis problemas?). Com a Tenable, é possível marcar ativos de forma automática (usando regras) ou manual.
  4. Priorize as vulnerabilidades com base no risco e determine a ação. Além do trabalho de identificar os ativos críticos ao negócio, você também precisa priorizar quais ameaças e vulnerabilidades enfrentadas pela organização representam o maior risco para esses ativos essenciais. Os líderes de segurança precisam equilibrar a ameaça de uma vulnerabilidade ou método de ataque com o impacto da correção ou mitigação nos negócios. Entre as milhares de novas vulnerabilidades que aparecem todos os anos, você precisa prever quais têm a maior probabilidade de serem exploradas pelos invasores, o seu nível de exposição a essas vulnerabilidades, com que velocidade você consegue abordá-las usando os processos de correção estabelecidos e qual seria o efeito no valor essencial do negócio não fazer nada e abordar o problema.

Capítulo 2: Estudo de caso: como é a desconexão de segurança cibernética do negócio na vida real


Capítulo 2: Estudo de caso: como é a desconexão de segurança cibernética do negócio na vida real

Enquanto as organizações em todo o mundo corriam para desenvolver estratégias para reagir à pandemia da COVID-19, estava claro que a segurança cibernética era uma carta fora do baralho.

É amplamente conhecido que os criminosos cibernéticos se voltam para ocorrências de grandes notícias — seja uma crise mundial ou uma vulnerabilidade de destaque, como o WannaCry — para perpetrar malware e golpes de phishing. Em 2020, nenhuma notícia apareceu tanto nas manchetes como o surgimento da COVID-19, uma doença viral que desencadeou uma pandemia mundial. A crise pegou muitas organizações desprevenidas e evidenciou como a falta de preparo para resposta a desastres e continuidade dos negócios, em combinação com o desalinhamento entre os líderes de negócio e de segurança, colocou as organizações em risco.

Embora quase todos os participantes do estudo conduzido pela Forrester Consulting (96%) afirmem que suas organizações desenvolveram estratégias de resposta à COVID-19, a grande maioria (75%) afirma que as iniciativas de negócio e segurança estão apenas "um pouco" alinhadas, na melhor das hipóteses.

Isso é bastante preocupante em um momento em que a adoção repentina e generalizada de modelos de trabalho em casa em resposta à pandemia está resultando em uma enxurrada de dispositivos de usuários finais nas redes corporativas. Os desktops remotos, antes uma oferta interessante para um grupo selecionado de funcionários, agora são ferramentas essenciais usadas por inúmeros funcionários para manter as organizações em funcionamento. De repente, os funcionários estão se conectando aos principais sistemas e aplicativos de negócios usando seus próprios roteadores e redes domésticas nunca testados anteriormente — e possivelmente vulneráveis. A popularidade dos dispositivos de internet das coisas (IoT) faz deles possíveis vetores de ataque. A rede doméstica média pode ter a Alexa da Amazon ou outra ferramenta ativada por voz, TVs conectadas à internet e aparelhos de videogame, sem mencionar os variados laptops, tablets e telefones pertencentes a cônjuges, filhos ou outras pessoas da casa.

Cerca de metade dos líderes de segurança cibernética pesquisados pela Forrester Consulting (48%) afirmam ter apenas visibilidade moderada ou não ter visibilidade dos seus funcionários remotos que estão trabalhando em casa.

O Brookings Institute estima que, a partir de 9 de abril de 2020, até metade dos trabalhadores nos EUA estavam trabalhando de casa, o que chamamos de "mudança em larga escala". De fato, um estudo da Pew Research mostra que, antes da pandemia, apenas 7% dos trabalhadores civis nos Estados Unidos — aproximadamente 9,8 milhões dos cerca de 140 milhões desses trabalhadores no país — tinham acesso a um benefício de "local de trabalho flexível" ou opção de teletrabalho.

E os criminosos cibernéticos estão em investida para tirar vantagem da superfície de ataque, que está crescendo exponencialmente. De acordo com o estudo da Forrester, em meados de abril de 2020, quatro em cada dez organizações (41%) já tinham sofrido pelo menos um ataque cibernético que afetou os negócios* como resultado de um esquema de phishing ou malware relacionado à COVID-19. Na verdade, os golpes relacionados à COVID foram a principal fontede todos os ataques cibernéticos relatados no estudo que afetaram os negócios. Embora a Organização Mundial da Saúde tenha declarado a COVID-19 como pandemia apenas algumas semanas antes, no momento em que a pesquisa foi realizada, os ataques relacionados à COVID já haviam ultrapassado outros ataques que afetam os negócios, como fraude (40%) e violação de dados (37% ), ransomware (36%) e vulnerabilidades de software (34%).

Os líderes de segurança cibernética estão preocupados com essas tendências, o que é compreensível. Dois em cada três participantes da pesquisa da Forrester (67%) afirmam estar muito ou extremamente preocupados com a possibilidade de as mudanças na força de trabalho causadas pela COVID-19 aumentarem o nível de risco da sua organização.

Para piorar as coisas, cerca de metade dos líderes de segurança cibernética pesquisados (48%) afirmam ter apenas visibilidade moderada ou não ter visibilidade dos seus funcionários remotos que estão trabalhando em casa.

Uma das principais formas de acabar com essa desconexão é as organizações incorporarem a segurança cibernética ao desenvolverem estratégias de gerenciamento de riscos.

Como o gerenciamento de riscos pode ajudar você a se tornar um líder de segurança cibernética alinhado ao negócio

CISOs, CSOs e outros líderes de segurança cibernética são perfeitos para assumir um papel mais proeminente no gerenciamento de riscos e nas disciplinas relacionadas de continuidade de negócios, recuperação de desastres e gerenciamento de crises. O seu trabalho coloca você diretamente na intersecção entre tecnologia e negócio. Você tem visibilidade de todos os sistemas, dados e processos necessários para cumprir um plano de continuidade de negócios e recuperação de desastres. O envolvimento no gerenciamento de riscos também pode facilitar a administração do seu trabalho: se você for capaz de entender todos os seus processos e ativos críticos de uma ampla perspectiva de risco corporativo, a segurança cibernética ficará mais forte.

Também há um benefício operacional claro a se ganhar com a realização de exercícios de gerenciamento de riscos, que podem atuar como uma ponte entre o negócio e os lados de InfoSec da organização. O que for revelado no processo ajudará toda a organização a entender a melhor forma de priorizar os recursos humanos e financeiros para manter o negócio funcionando mesmo em tempos de crise.

Se você for capaz de entender todos os seus processos e ativos críticos de uma ampla perspectiva de risco corporativo, a segurança cibernética ficará mais forte.

Em um momento em que as organizações enfrentam um período de incerteza econômica possivelmente longo, a priorização dos investimentos com base no risco torna-se mais crítica do que nunca. O estudo da Forrester mostra que, quando a segurança e o negócio estão alinhados, eles entregam resultados notáveis. Por exemplo, 85% dos líderes de segurança alinhados ao negócio têm métricas para rastrear o ROI de segurança cibernética e o impacto no desempenho dos negócios, em comparação com apenas um quarto (25%) de seus pares mais isolados e reativos de outras áreas.

Envolver-se no desenvolvimento da estratégia de Enterprise Risk Management (ERM) da sua organização coloca você no rumo certo para se tornar um líder em segurança cibernética alinhado ao negócio.

Estas seis etapas ajudarão você com a identificação e a avaliação inicial do risco corporativo:

  1. Desenvolva e distribua uma pesquisa de avaliação de risco às principais partes interessadas. Essa pesquisa é normalmente enviada para o nível de diretoria sênior e cargos acima e deve incluir representantes de todos os grandes departamentos da organização, como financeiro, jurídico, recursos humanos, tecnologia da informação, segurança da informação, vendas, operações, marketing e P&D. Assim que a pesquisa for concluída, você deverá organizar as respostas em categorias de risco para que seja possível compilar um inventário dos riscos corporativos.
  2. Conduza a pesquisa e a análise para comparar os riscos corporativos da sua organização com as pesquisas de risco do setor.
  3. Desenvolva uma metodologia de avaliação de riscos, incluindo probabilidade e impacto, para obter uma classificação do risco total.
  4. Identifique os principais líderes da sua organização e reserve um tempo para entrevistá-los e obter um feedback sobre os riscos e a priorização, bem como a probabilidade e o impacto dos riscos.
  5. Apresente os resultados da avaliação de risco aos executivos para finalizar os principais riscos e designar os responsáveis pelos riscos executivos.
  6. Trabalhe com os responsáveis pelos riscos executivos para identificar atividades de mitigação para os principais riscos.

A execução das etapas acima é um exercício trabalhoso, mas que rende um alto grau de benefícios ao lhe oferecer um conjunto claro de prioridades. Você terá uma lista acordada de riscos corporativos. Embora a segurança cibernética provavelmente seja seu próprio risco corporativo autônomo, ela com certeza afetará muitos ou todos os riscos corporativos de alguma forma.

Combine a avaliação de risco corporativo com uma análise de impacto ao negócio — essencial à continuidade dos negócios e à recuperação de desastres para determinar os sistemas e os processos de negócios críticos, cuja ausência mais prejudicaria a organização — e os dois atuarão como uma base para o desenvolvimento de uma estratégia de segurança cibernética alinhada ao negócio. Você extrairá uma lista dos seus processos e riscos corporativos mais críticos, tornando igualmente possível priorizar de forma clara as respostas em um momento de crise, independentemente de a crise advir de um ataque cibernético, de um desastre natural ou de uma pandemia mundial, e na retomada das operações normais do negócio.

Em épocas de estabilidade, é muito fácil para as organizações tratarem o gerenciamento de riscos corporativos como um mero exercício de assinalar com X, perfeito nas mãos de uma equipe segregada de profissionais de risco. Com a COVID-19, os líderes de negócio e de tecnologia se viram inscritos em um curso intensivo de gerenciamento de crises. Vale a pena aproveitar este momento como uma oportunidade para repensar sua abordagem ao risco corporativo de modo a estar mais bem preparado para os tempos de crise e posicionado para se beneficiar quando as coisas estiverem indo bem.

*Para os fins deste estudo, "afetar os negócios" refere-se a um ataque cibernético ou comprometimento que resulte em uma ou mais das seguintes opções: na perda de dados de clientes, de funcionários ou outros dados confidenciais; interrupção das operações diárias; pagamento de ransomware; perda ou roubo financeiro; e/ou roubo de propriedade intelectual.

Cyber Exposure Score: até que ponto a empresa está protegida?

O Tenable Lumin permite que as organizações calculem efetivamente sua cyber exposure e façam análises comparativas, resultando em uma comparação interna e externa com organizações semelhantes.

Saiba mais
Cyber Exposure Score: até que ponto a empresa está protegida?

Como gerenciar sua postura de segurança durante rápidas mudanças

Em épocas de rápidas mudanças, é especialmente importante entender como novas estratégias de negócios podem, ao mesmo tempo, aumentar a superfície de ataque da organização e introduzir novos riscos. Como líder de segurança, você precisa ser capaz de calcular o impacto dessas mudanças na sua postura de segurança e, ao mesmo tempo, comunicar essas informações aos parceiros da organização em termos que eles consigam entender.

Para atender a essas duas necessidades, a Tenable criou a Cyber Exposure Score (pontuação), uma classificação simples e objetiva que representa a interseção de seu risco técnico e de negócio. A CES tem o respaldo da ciência de dados e é atualizada automaticamente, todos os dias, por meio de algoritmos de machine learning que combinam dados de vulnerabilidades e outros indicadores de risco, como threat intel e criticidade de ativos. A pontuação combina a Vulnerability Priority Rating (VPR), que calcula a probabilidade da explorabilidade e seu possível impacto, com a nossa Asset Criticality Rating (ACR), que monitora o valor corporativo de cada ativo afetado.

Como o cenário de ameaças em evolução requer comunicação contínua, a Tenable também oferece uma visão contínua das tendências de Cyber Exposure, incluindo visualizações que mostram melhorias ou declínios ao longo do tempo, proporcionando a você e às partes interessadas do negócio uma perspectiva da eficácia do programa de segurança. Você pode mostrar a CES da sua organização ao longo dos últimos seis meses e destacar mudanças em sete dias para sinalizar possíveis problemas. Use esses dados para mapear seu progresso ao longo do tempo, identificar áreas problemáticas e alocar recursos devidamente.

Capítulo 3: Como comunicar o risco ao negócio: por que as métricas de segurança cibernética existentes ficam aquém?


Capítulo 3: Como comunicar o risco ao negócio: por que as métricas de segurança cibernética existentes ficam aquém?

Mesmo com uma infinidade de ferramentas à disposição, os líderes de InfoSec têm dificuldades para diminuir a desconexão entre segurança e negócios.

Como comunicar o contexto de risco ao negócio do seu programa de segurança cibernética aos executivos da alta gestão da sua organização?

Os líderes de segurança e de gerenciamento de riscos têm um arsenal de estruturas e controles disponíveis para calcular as facetas mais granulares dos seus programas. Embora essas métricas sejam inestimáveis para ajudar a gerenciar as operações diárias das equipes de segurança, elas ficam aquém na comunicação com os líderes de negócios.

Quando você está interagindo no nível da alta gestão ou mesmo no nível do comitê de auditoria — que, na maioria das vezes, é a entidade do conselho responsável pela segurança — os executivos querem entender o impacto que o seu programa de segurança cibernética está tendo na capacidade da organização de cumprir sua principal proposta de valor. Ainda assim, um estudo mundial com mais de 800 líderes de negócios e de segurança cibernética conduzido pela Forrester Consulting em nome da Tenable revela que 66% dos líderes de negócios estão, no máximo, apenas um pouco confiantes na capacidade que sua equipe de segurança tem para quantificar o nível de risco ou segurança da organização.

As formas atuais de calcular o risco cibernético não mostram o contexto de negócio de que as organizações precisam.

Isso não significa que os líderes de segurança estão fazendo alguma coisa errada. Em vez disso, ele destaca uma realidade inevitável: as formas atuais de calcular o risco cibernético não mostram o contexto de negócio de que as organizações precisam. Mais da metade dos líderes de segurança pesquisados não tem certeza de ter a tecnologia ou os processos para prever ameaças de segurança cibernética ao seu negócio, enquanto cerca de dois quintos não têm certeza de ter os dados.

Como calculamos o risco cibernético?

O risco cibernético é uma função dos seus ativos, controles de segurança, ameaças e vulnerabilidades a qualquer momento. Sem saber quais são os ativos mais críticos para o valor fundamental do seu negócio, é impossível entender os riscos cibernéticos que representam uma ameaça real para o negócio. Depois de determinar seus ativos críticos, o próximo passo é entender quais das dezenas de milhares de ameaças e vulnerabilidades que sua organização enfrenta a cada ano realmente representam o maior risco para esses ativos essenciais.

A maioria dos líderes de segurança pesquisados pela Forrester Consulting (56%) não está aplicando os objetivos de gerenciamento de riscos aos seus processos de priorização de vulnerabilidades.

De acordo com o estudo da Forrester, menos de 50% dos líderes de segurança incluem o impacto de ameaças à segurança cibernética no contexto de um risco de negócio específico. A maioria dos líderes de segurança pesquisados (56%) não está aplicando os objetivos de gerenciamento de riscos aos seus processos de priorização de vulnerabilidades. Apenas metade (51%) afirma que sua organização trabalha em proximidade com as partes interessadas para alinhar os objetivos de custo, de desempenho e de redução de riscos às necessidades do negócio. E apenas um em cada quatro relata revisar regularmente as métricas de desempenho da organização de segurança com os colegas do negócio.

O estudo também revela que:

  • Mais da metade dos líderes de segurança (56%) afirma que sua organização não tem uma boa visibilidade da segurança de seus ativos mais críticos.
  • Cerca de 60% dos participantes relatam visibilidade alta ou total da avaliação do risco por parte dos funcionários locais, mas apenas 52% podem dizer o mesmo sobre funcionários remotos ou trabalhando de casa.
  • Apenas 51% relatam ter visibilidade alta ou total dos sistemas usados por prestadores ou parceiros, e 55% relatam o mesmo para seus fornecedores terceirizados.

Não é possível calcular o risco cibernético sem o contexto do negócio

Duas das perguntas mais comuns feitas aos líderes de segurança por líderes de negócios seniores e pelo conselho são: "Estamos seguros?" e "Como está nosso programa em comparação com nossos colegas?".

Mas, ao contrário dos colegas do negócio, os líderes de segurança têm dados objetivos limitados nos quais se basear para montar a equação essencial de risco cibernético dos ativos, controles de segurança, ameaças e vulnerabilidades para responder às duas perguntas. Nenhuma estrutura existente captura a operação de InfoSec na íntegra, deixando aos líderes de segurança a função de juntar os vários fragmentos de cálculo. Sem um cálculo objetivo do contexto de negócios para cada um dos ativos, os cálculos de risco cibernético só levam você até um certo ponto.

Menos da metade dos líderes de segurança pesquisados pela Forrester Consulting considera as estruturas de análise comparativa do setor que utilizam muito eficazes para relatar com precisão o risco ao negócio.

De fato, de acordo com o estudo da Forrester, menos da metade dos líderes de segurança considera as estruturas de análise comparativa do setor que utiliza muito eficazes para relatar com precisão o risco ao negócio. E mais da metade diz não estar fazendo uma análise comparativa adequada de seus controles de segurança.

Ao mesmo tempo, são tantas as variáveis envolvidas na superfície de ataque de qualquer organização que obter um consenso sobre as métricas de segurança em todo o setor deve continuar sendo um sonho no futuro próximo. Nenhuma organização pode alegar estar 100% segura. Tudo o que um líder de segurança tem é um cálculo embasado do que é considerado um nível de risco aceitável, que permite que ele tome decisões de negócios de até onde ir depois de abordar um nível razoável de exposição.

Então, como você pode trabalhar com o que tem para começar a suplantar a desconexão entre a segurança cibernética e o negócio?

Faça download do estudo completo: A Ascensão do Executivo de Segurança Alinhado ao Negócio

Um estudo encomendado com mais de 800 líderes de negócios e de segurança cibernética em todo o mundo, realizado pela Forrester Consulting

Faça já o download
Faça download do estudo completo: A Ascensão do Executivo de Segurança Alinhado ao Negócio

Como usar os dados que você tem para chegar onde precisa

O risco é relativo, não absoluto. Sempre haverá risco na empresa. A pergunta é se os líderes da organização reduziram ou aumentaram o risco ao tomar uma determinada medida de negócios. O que as opções de avaliação de segurança disponíveis hoje fazem é oferecer a possibilidade de estabelecer um ponto de partida do qual você poderá começar a identificar o trabalho necessário para refinar ainda mais seu programa de segurança.

Não existe uma abordagem comum a todos para identificar os indicadores de risco mais importantes para a sua organização. Como profissionais do setor, todos os líderes de segurança podem trabalhar em conjunto para começar a formular os tipos de métricas de risco ao negócio que serão mais significativas para os líderes de negócios da alta gestão.

Para essa finalidade, Robert Huber, CSO da Tenable, elaborou esta lista de perguntas reais que foram feitas por conselhos administrativos e executivos da alta gestão ao longo de sua carreira. Considere esses exemplos ao se preparar para suas próprias reuniões com a liderança sênior da sua organização.

  1. Quais são e/ou onde estão nossos riscos, funções e ativos mais críticos?
  2. O que você está fazendo para protegê-los?
  3. Qual é o nível de maturidade do nosso programa, em comparação com o setor e empresas semelhantes?
  4. Qual é o seu roteiro para aumentar nossa maturidade?
  5. Quais são os recursos do nosso programa de segurança em comparação aos concorrentes ou empresas semelhantes do mesmo setor?
  6. As funções mais críticas para o negócio estão mais seguras hoje do que um ano atrás?
  7. O que estamos fazendo em relação a (inserir a mais recente vulnerabilidade em evidência aqui)?

Talvez as perguntas acima despertem suas próprias ideias para outros indicadores de risco ao negócio que valem a pena ser calculados, para que, coletivamente, os líderes de segurança possam encontrar formas melhores de alinhar a segurança cibernética ao negócio.

Introdução de uma linguagem comum para comunicar sua estratégia de segurança aos líderes de negócios e ao conselho

Preencher as lacunas entre negócio e segurança é desafiador. Os líderes de segurança precisam de formas melhores para responder às perguntas feitas pelos seus colegas de negócios. O estudo da Forrester torna vívida a necessidade de uma ferramenta que forneça um cálculo claro e conciso do risco ao negócio, que possa ser utilizada pelos líderes de negócios e que, ao mesmo tempo, ofereça a amplitude de funcionalidades necessária para as equipes de segurança.É aqui que o Tenable Lumin entra na jogada.

  • Calcule comunique sua cyber exposure
    Tenha uma medição objetiva do seu risco cibernético por meio do Cyber Exposure Score (CES), que combina dados de vulnerabilidades com outros indicadores de risco, como threat intel e criticidade dos ativos.A CES pode ser aplicada a qualquer grupo de ativos, desde um único ativo até todos os ativos da organização. Munido dessas informações, você pode priorizar suas iniciativas para proteger as funções e os ativos mais críticos e relatar seu progresso.
  • Monitore o progresso com a "tendência de Cyber Exposure"
    As visualizações avançadas ajudam a entender as melhorias de tendência ao longo do tempo na forma de um cálculo da eficácia do programa de segurança. Monitore a CES da sua organização ao longo dos últimos seis meses e destaque mudanças em sete dias para sinalizar possíveis problemas. Você pode usar esses dados para mapear seu progresso ao longo do tempo, identificar áreas problemáticas e alocar recursos devidamente.
  • Faça uma análise comparativa entre a sua maturidade e a de empresas do mesmo do setor
    As organizações podem fazer uma análise comparativa de si mesmas com empresas do mesmo setor para prontamente identificar deficiências e pontos fortes. Estão disponíveis análises comparativas para uma série de métricas importantes, como CES e maturidade de avaliação, oferecendo uma linha de base para analisar e comparar a eficácia das suas operações  com a de outras empresas do mesmo setor, além das médias gerais.
  • Analise as lacunas e as práticas recomendadas em toda a organização
    Como o CES pode ser aplicado a qualquer grupo de ativos, as equipes de segurança podem fazer uma análise comparativa dos grupos operacionais internos entre si, como unidades de negócios, ambientes de computação ou localização de filiais. Essa análise ajuda a concentrar a atenção e os recursos para abordar áreas de alta exposição e identificar as práticas recomendadas em toda a organização. Os agrupamentos de ativos podem ser totalmente personalizados tirando proveito das tags existentes, que permitem filtrar e analisar segmentos da sua organização.

Capítulo 4: Cinco etapas para se tornar um líder de segurança cibernética alinhado ao negócio


Capítulo 4: Cinco etapas para se tornar um líder de segurança cibernética alinhado ao negócio

Quando a segurança e o negócio estão alinhados com os dados contextuais acordados, os resultados apresentados podem ser demonstrados. Veja como chegar lá.

Os líderes de segurança cibernética estão se afundando em dados. Você sabe quantas vulnerabilidades existem. Você sabe quantos patches implementou. Você sabe recitar de cor as ameaças mais recentes. Mesmo com todas essas informações à disposição, você ainda pode ter dificuldades para responder à pergunta "Qual é o nosso nível de segurança?" com um alto grau de confiança.

Por quê? Porque está faltando uma informação importante: o contexto de negócios.

A equação típica usada para calcular o nível de segurança ou risco de uma organização é uma função de ativos, controles de segurança, ameaças e vulnerabilidades. Sem o contexto de negócios -— a compreensão dos ativos mais críticos para a proposta de valor fundamental do negócio e os controles de segurança estabelecidos para cada um desses ativos — o resultado de qualquer cálculo de risco de segurança será incompleto, na melhor das hipóteses.

Porém, os líderes de segurança não conseguirão compreender o contexto de negócios se trabalharem isolados. Isso exige um nível de alinhamento estratégico entre os líderes de negócio e de segurança cibernética que não existe na maioria das organizações. O estudo encomendado à Forrester Consulting mostra uma desconexão significativa entre o negócio e a segurança: Apenas 54% dos líderes de segurança e 42% dos executivos de negócios pesquisados afirmam que suas estratégias de segurança cibernética estão completa ou intimamente alinhadas às metas de negócio. Menos da metade dos líderes de segurança pesquisados consulta líderes de negócios com muita frequência ao desenvolver sua estratégia de segurança cibernética. Ainda pior, quatro em cada dez executivos de negócio raramente ou quase nunca consultam os líderes de segurança ao desenvolver as estratégias de negócio de suas organizações.

Apenas 54% dos líderes de segurança e 42% dos executivos de negócio pesquisados pela Forrester Consulting afirmam que suas estratégias de segurança cibernética estão completa ou intimamente alinhadas às metas de negócio.

Contudo, o estudo mostra que, quando a segurança e o negócio estão alinhados, eles apresentam resultados que podem ser demonstrados. Por exemplo, os líderes de segurança alinhados aos negócios estão:

  • Preparados para relatar os riscos e a segurança. O líder de segurança alinhado ao negócio tem oito vezes mais chances do que seus pares mais isolados de estarem confiantes em sua capacidade de relatar o nível de segurança ou risco de suas organizações.
  • Prontos para mostrar o ROI de suas iniciativas de segurança. A grande maioria dos líderes de segurança alinhados ao negócio (85%) tem métricas para rastrear o ROI de segurança cibernética e o impacto no desempenho dos negócios em comparação com apenas 25% de seus pares mais isolados e reativos de outras áreas.
  • Equipados com um processo definido de análise comparativa. Cerca de nove em cada dez líderes de segurança alinhados ao negócio (86%) têm um processo que articula claramente as expectativas e demonstra melhoria contínua do processo em relação a empresas semelhantes e/ou grupos internos. Apenas 32% dos colegas não alinhados podem dizer o mesmo.

Isso não quer dizer que a responsabilidade pela obtenção do alinhamento recaia diretamente sobre os ombros do líder de segurança. Culturalmente, algumas organizações têm a tendência de criar silos. Independentemente do esforço empregado, se você trabalhar em uma dessas organizações, sempre terá dificuldade para se alinhar com os colegas de negócios.

Se você não sabe ao certo onde sua organização se encaixa no processo de alinhamento, existe uma forma rápida de saber: Se houver na sua empresa um executivo com o cargo de Business Information Security Officer, sua organização estará na extremidade mais madura da escala de alinhamento. De acordo com o estudo da Forrester, a grande maioria das organizações alinhadas ao negócio (80%) conta com um BISO (Business Information Security Officer) ou cargo semelhante, em comparação com apenas 35% de seus concorrentes menos alinhados.

Faça download do estudo completo: A Ascensão do Executivo de Segurança Alinhado ao Negócio

Um estudo encomendado com mais de 800 líderes de negócios e de segurança cibernética em todo o mundo, realizado pela Forrester Consulting

Faça já o download
Faça download do estudo completo: A Ascensão do Executivo de Segurança Alinhado ao Negócio

Como tornar-se um líder de segurança cibernética alinhado ao negócio

Se você tiver a sorte de trabalhar em uma organização em que o alinhamento cibernético-negócio já está relativamente maduro, seu caminho para se tornar um líder de segurança alinhado ao negócio será bastante claro, mesmo que a jornada ainda requeira um esforço considerável. Mas, se você trabalhar em uma organização localizada na extremidade inferior da escala de maturidade de alinhamento, sua jornada será bem mais desafiadora. Como não existe uma abordagem única para todas, as diretrizes a seguir oferecem opções personalizadas para cada um dos três grandes níveis de maturidade de alinhamento.

Cinco etapas para melhorar o alinhamento com as partes interessadas do negócio em cada nível de maturidade organizacional

1 Não deixe de compreender os objetivos de negócios anuais da sua organização.
Alinhamento baixo

Provavelmente, você precisará fazer sua própria pesquisa em documentos voltados ao público, como previsões de ganhos e demonstrações financeiras, para criar uma imagem razoavelmente clara das prioridades da organização.

Alinhamento moderado

Isso pode exigir a participação em ligações com a liderança em nível de VP, o acompanhamento de reuniões gerais da sua organização e a busca de outras formas de integrar-se com seus colegas.

Alinhamento alto

Você tem, ou precisará trabalhar para ter, um lugar reservado nas reuniões semanais realizadas pela equipe executiva e é chamado regularmente para fazer apresentações ao conselho.

2 Reflita como esses objetivos de negócios moldam as decisões de tecnologia.
Alinhamento baixo

Você pode precisar contar com conexões com colegas de toda a empresa para o ajudarem a desenvolver um panorama dos sistemas e ativos mais críticos. Em particular, preste atenção a interrupções e incidentes para detectar áreas que têm importância reconhecida.

Alinhamento moderado

Talvez seja preciso fazer um certo trabalho preliminar, agendando conversas com VPs ou outros líderes de linha de negócios para se atualizar sobre os sistemas mais importantes.

Alinhamento alto

Conduza uma avaliação de impacto ao negócio, fazendo uma pesquisa com os principais executivos de negócios para obter um entendimento claro dos sistemas mais críticos para o funcionamento diário da organização.

3 Trabalhe com as partes interessadas de negócios para ter certeza de que suas métricas de segurança cibernética incorporem o contexto de negócios.
Alinhamento baixo

Talvez seja preciso recorrer a fontes externas, como eventos do setor, estudos de caso ou grupos de colegas, para desenvolver uma perspectiva das necessidades de negócios comuns e das principais métricas de segurança, e dar um palpite sobre o que funcionaria para a sua organização.

Alinhamento moderado

O desenvolvimento dessas métricas pode ser um desafio, pois você pode não ter acesso a executivos seniores que possam ajudar você a definir o contexto de negócios. Você precisará desenvolver conexões com diretores ou líderes de linha de negócios e consultar colegas do setor para ajudar e entender quais métricas fazem mais sentido para você.

Alinhamento alto

Esta etapa envolve saber as perguntas certas a serem feitas e identificar um pequeno número de métricas que são mais significativas para sua empresa.

4 Priorize suas ações de segurança cibernética com base no que foi aprendido nas etapas acima.
Alinhamento baixo

Você pode começar avaliando as lacunas do seu processo, como a falta de dados de criticidade de ativos, e desenvolver um roteiro para preencher cada lacuna ao longo do tempo.

Alinhamento moderado

Você pode integrar dados de criticidade de ativos com dados de ameaças e vulnerabilidades para caminhar em direção a uma abordagem mais baseada em riscos.

Alinhamento alto

Você deverá usar a automação e aplicar os objetivos de gerenciamento de riscos ao negócio às práticas de priorização de ameaças e vulnerabilidades por meio de uma abordagem preditiva.

5 Comunique usando análises comparativas que façam sentido para as partes interessadas do negócio.
Alinhamento baixo

Considere trabalhar com consultores externos para ajudar a desenvolver suas habilidades em linguagem de negócios. No processo, isso provavelmente aumentará o respeito por parte dos líderes de negócios por você avaliar não apenas o risco, mas o negócio em si.

Alinhamento moderado

Talvez seja preciso recorrer mais aos seus poderes de observação; fique atento à linguagem que os seus colegas de trabalho usam e adapte sua comunicação de acordo.

Alinhamento alto

Mesmo em uma organização altamente alinhada, a subjetividade das estruturas existentes e a falta de consenso no setor sobre os principais indicadores de risco podem transformar isso em um desafio. Ainda assim, se você já tem um alto grau de alinhamento organizacional, provavelmente seus colegas da alta gestão receberão bem uma conversa franca sobre o que eles precisam saber — e o que pode ser omitido — nos seus relatórios.

Fonte: Tenable, agosto de 2020.

Tornar-se um líder de segurança cibernética alinhado ao negócio é uma maratona, não uma corrida de velocidade. É preciso aprender a falar a linguagem de negócio e de tecnologia com a mesma fluência. Contudo, como o estudo da Forrester observou, "as ameaças de segurança modernas precisam de uma nova abordagem".O futuro pertence aos líderes de segurança que estão prontos para gerenciar a segurança cibernética como um risco ao negócio.

Capítulo 5: Um dia na vida de um executivo de segurança alinhado ao negócio


Capítulo 5: Um dia na vida de um executivo de segurança alinhado ao negócio

O futuro pertence aos líderes de segurança cibernética que conseguem alinhar seus objetivos com a compreensão dos riscos ao negócio. A seguir, veja oito ações diárias que você pode incorporar para chegar lá.

Os capítulos anteriores exploraram como as limitações na tecnologia, nos processos e nos dados disponíveis para os líderes da InfoSec estão agravando a desconexão crônica entre a segurança cibernética e o negócio. Porém, a discussão estaria incompleta se deixasse de considerar também os fatores humanos que estão no cerne da desconexão.

CISOs e outros líderes de segurança cibernética são participantes exclusivos da diretoria executiva. É preciso ser igualmente fluente nas linguagens de tecnologia e de negócio. No entanto, diferentemente dos colegas do financeiro ou de vendas, que podem ter um mestrado em administração ou outros títulos acadêmicos semelhantes, muitos líderes de segurança cibernética têm formação técnica, como ciência da computação. Normalmente, os líderes de InfoSec galgam a hierarquia técnica da organização. Isso coloca você em desvantagem imediata quando finalmente chega a um cargo gerencial sênior ou de alta gestão.

CISOs e outros líderes de segurança cibernética são participantes exclusivos da diretoria executiva. É preciso ser igualmente fluente nas linguagens de tecnologia e de negócio.

A tecnologia é a sua primeira linguagem, sua língua nativa. As ferramentas e os processos que você usa são todos baseados na linguagem da tecnologia, gerando resultados que você pode articular claramente na sua língua nativa. A maioria de vocês aprendeu a falar razoavelmente a linguagem de "negócios como uma segunda língua", mas uma desconexão permanece, em parte, porque as ferramentas e estruturas de que você precisa para fazer o seu trabalho não têm tradução fácil.

Faz parte do trabalho

Um trabalho do SANS Institute de 2003 articulou os desafios, que permanecem atuais nos dias de hoje: "As responsabilidades [do CISO] são diferentes das de todos os outros diretores, nem os CIOs têm esse escopo". O trabalho do SANS detalha algumas das responsabilidades mais importantes assumidas pela maioria dos CISOs:

  • Atua como representante da organização no que diz respeito a consultas de clientes, parceiros e do público em geral relacionadas à estratégia de segurança da organização.
  • Atua como representante da organização ao lidar com órgãos policiais enquanto busca as fontes de ataques à rede e roubo de informações por funcionários.
  • Equilibra as necessidades de segurança com o plano estratégico de negócios da organização, identifica os fatores de risco e define as soluções para ambos.
  • Desenvolve políticas e procedimentos de segurança que forneçam proteção adequada às aplicações de negócios, sem interferir nos principais requisitos do negócio.
  • Planeja e testa respostas a violações de segurança, incluindo a possibilidade de discutir a ocorrência com clientes, parceiros ou o público em geral.
  • Supervisiona os testes de seleção, a implementação e a manutenção de produtos de hardware e software de segurança, bem como os acordos terceirizados.
  • Supervisiona uma equipe de funcionários responsáveis pela segurança da organização, que vai de técnicos de rede que gerenciam dispositivos de firewall a guardas de segurança.

Dado o escopo complexo da função, pode ser difícil decidir onde priorizar seu tempo em um dia normal. A maioria dos executivos de segurança prefere viver na zona de conforto técnico representada acima pelos três últimos itens, passando o dia se planejando para incidentes e supervisionando operações projetadas para minimizar essa probabilidade.

Contudo, ficar na sua zona de conforto não deixará ninguém mais seguro. De acordo com o estudo encomendado à Forrester Consulting, 94% das organizações sofreram um ataque cibernético nos últimos 12 meses que resultou em pelo menos uma das seguintes opções: perda de dados de clientes, de funcionários ou outros dados confidenciais; interrupção das operações diárias; pagamento de ransomware; perda ou roubo financeiro; e/ou roubo de propriedade intelectual. E a maioria dos participantes (77%) tem a expectativa de que os ataques cibernéticos aumentarão nos próximos dois anos.

O estudo também descobriu que 66% dos líderes empresariais têm, no máximo, apenas um pouco de confiança na capacidade da equipe de segurança de quantificar o nível de risco ou segurança da organização.

Como tornar-se um líder de segurança alinhado ao negócio: oito etapas

Está claro que algo precisa mudar. Os líderes de segurança precisam encontrar formas de melhorar o alinhamento com o negócio, e isso requer esforços todos os dias. É preciso prestar atenção em como você prioriza seu tempo para garantir que as operações sejam estruturadas de forma a permitir tempo suficiente para focar no alinhamento do negócio. Seguem oito práticas que você pode incorporar na sua rotina para colocar-se caminho certo para um futuro alinhado ao negócio:

  1. Reserve um tempo todos os dias analisando os documentos externos da sua empresa. Preste atenção ao que os executivos da organização estão comunicando em declarações financeiras, comunicados à imprensa, artigos de notícias, sites de redes sociais e fóruns do setor.
  2. Agende um horário com os executivos da linha de negócios para entender seus desafios do dia-a-dia e estabelecer um relacionamento. Saiba como o desempenho deles é medido. Ajude-os a ver a segurança como uma facilitadora de suas necessidades de negócios, e não um impedimento. Dessa forma, é mais provável que você seja envolvido mais precocemente em seus planos estratégicos.
  3. Cultive um conhecimento prático das prioridades e dos desafios enfrentados pelas organizações do seu setor. Participe de associações comerciais ou outras organizações profissionais, leia artigos business-to-business em jornais de negócios, participe de webinars e de outros eventos do setor. Ao fazer isso, você desenvolverá um vocabulário ativo e perspectivas importantes para ajudar a alinhar melhor suas iniciativas de segurança às necessidades de negócios exclusivas da organização.
  4. Programe conversas regulares com os executivos da diretoria e use esse tempo para entender suas maiores preocupações. Somente depois de entender os problemas mais amplos do negócio, você poderá começar a entender holisticamente o que realmente significa "risco" para a organização.
  5. Use as análises trimestrais do negócio como uma grande oportunidade de aprendizado. Ouça atentamente as prioridades estratégicas e os problemas apresentados pelos colegas e considere os fatores externos que os influenciam. Preste atenção em como cada executivo demonstra o retorno sobre seus investimentos e encontre formas de adaptar suas próprias métricas de ROI de segurança de acordo.
  6. Desenvolva uma rede de consultores de negócios de confiança. Envolva mentores de todo o espectro do negócio para oferecer orientações e ser um porto seguro para ajudar a refinar sua comunicação de modo que se torne mais adequada ao negócio.
  7. Desenvolva um relacionamento com os profissionais de risco da organização. A segurança cibernética é um risco por si só e um fator em todas as outras conversas sobre riscos ao negócio. Descubra como você pode participar efetivamente no desenvolvimento de estratégias de gerenciamento de riscos corporativos que mantêm o mundo cibernético em destaque.
  8. Preste atenção nos relacionamentos com terceiros que ocorrem na organização. Você pode ter um conhecimento prático dos principais relacionamentos, como o processamento da folha de pagamento ou fornecedores de planejamento de recursos corporativos. Mas o quanto de visibilidade você tem das ferramentas e plataformas usadas pela sua equipe da web ou dos prestadores de serviço e suporte que fazem manutenção e reparos da tecnologia operacional da organização?

Encontrar tempo para tudo o que foi dito acima, além de cumprir com eficácia todos os outros aspectos da sua função, pode parecer uma proposta assustadora. Você não conseguirá fazer tudo isso de uma vez. Escolha um ou dois que mais interessem a você e comece por eles. Ao fazer a escolha ativa de sair da sua zona de conforto de tecnologia e ficar mais alinhado com o negócio, você não apenas beneficiará a organização, como também aprimorará sua carreira, preparando-se para ocupar aquele almejado "assento cativo" para conduzir as estratégias de risco ao negócio.

Ferramentas que podem ser utilizadas para se alinhar com o negócio

A Tenable fornece ferramentas para ver tudo, prever o que importa e agir para lidar com riscos em toda a superfície de ataque. Ser capaz de responder de forma clara, concisa e objetiva à pergunta essencial "Qual é nosso nível de segurança?" é fundamental na rotina de um líder de segurança alinhado ao negócio.

Veja tudo

Como o cenário das ameaças muda constantemente, você precisa de uma avaliação profunda e contínua da sua superfície de ataque convergida por meio de um painel em tempo real que fornece uma visão clara de onde você está exposto. A Tenable oferece visibilidade das ferramentas e tecnologias que alimentam as estratégias de negócios modernas: nuvem, contêineres, infraestrutura, tecnologia operacional (OT), aplicações Web e muito mais. São as mesmas ferramentas que aumentam a superfície de ataque de uma organização e geram riscos ao negócio. Com a Tenable, você pode avaliar o estado de cada um dos ativos, incluindo vulnerabilidades, configurações incorretas e outros indicadores de integridade. A verificação ativa, os agentes, o monitoramento passivo e os conectores de nuvem da Tenable oferecem visibilidade e uma visualização contínua de todos os ativos — tanto os conhecidos, como os anteriormente desconhecidos. A Tenable tem o mais amplo suporte de configuração de segurança e CVE do setor para ajudar você a ver e entender todas as suas exposições.

Preveja o que é mais importante

As organizações estão sobrecarregadas de vulnerabilidades. Embora 17 mil novas vulnerabilidades tenham sido anunciadas em 2019, menos de 7% tiveram explorações ativas publicadas. Identificar as vulnerabilidades mais perigosas antes que sejam utilizadas em um ataque é fundamental. Com mais de duas décadas de experiência e algoritmos de machine learning extraídos de um datalake de 5 petabytes contendo mais de 20 trilhões de pontos de dados de ameaças, vulnerabilidades e ativos avaliados de forma contínua, a Tenable permite a identificação das vulnerabilidades, dos ativos críticos e dos riscos mais importantes para o funcionamento da organização e a execução segura das suas estratégias de negócio. A abordagem preditiva da Tenable permite priorizar suas iniciativas com base nas ameaças existentes e emergentes, além do possível impacto delas ao negócio. Como resultado, você pode concentrar-se nas vulnerabilidades que tem maior probabilidade de serem exploradas por invasores e corrigir o que é mais importante primeiro.

Aja para enfrentar o risco

Estratégias de segurança reativas, isoladas e táticas prejudicam a capacidade dos líderes de segurança de obter uma imagem clara da integridade da segurança cibernética da sua organização e das ameaças que representam o maior risco ao negócio. Isso dificulta a tomada de ação e a comunicação eficaz entre equipes e colegas de negócios. A Tenable oferece métricas para calcular o risco cibernético e a maturidade do programa para melhorar os processos organizacionais, abordar os riscos e comunicar os resultados com clareza e confiança. O alinhamento dessas métricas resulta em uma linguagem comum para gerenciar o equilíbrio entre a velocidade da transformação do negócio e uma postura de segurança apropriada. A quantificação e a análise comparativa de exposição da Tenable permitem que você compare a sua eficácia ao longo do tempo entre as operações internas e com a dos pares — métricas críticas para orçamento, alocação de recursos e melhoria de processos.

Com a Tenable, você é capaz de identificar as áreas de foco e otimizar os investimentos em segurança. As visualizações de toda a superfície de ataque permitem que todos, do analista ao executivo, entendam rapidamente, comuniquem e ajam para diminuir a Cyber Exposure da sua organização.

COPYRIGHT 2020 TENABLE, INC. TODOS OS DIREITOS RESERVADOS. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER CONTINUOUS VIEW E LOG CORRELATION ENGINE SÃO MARCAS COMERCIAIS REGISTRADAS DA TENABLE, INC. TENABLE.SC, LUMIN, ASSURE E THE CYBER EXPOSURE COMPANY SÃO MARCAS COMERCIAIS DA TENABLE, INC. TODOS OS OUTROS PRODUTOS OU SERVIÇOS SÃO MARCAS COMERCIAIS DE SEUS RESPECTIVOS PROPRIETÁRIOS.

tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte e treinamento

Tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste o Tenable.io Web Application Scanning

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste o Tenable.io Container Security

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Avalie o Tenable Lumin

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.

Experimente o Tenable.cs

Aproveite o acesso completo para detectar e corrigir erros de configuração da infraestrutura da nuvem e ver vulnerabilidades no tempo de execução. Inscreva-se para uma avaliação gratuita agora mesmo.

Entre em contato com um representante de vendas para comprar o Tenable.cs

Entre em contato com um representante de vendas para saber mais sobre o Tenable.cs Cloud Security e veja como é fácil integrar suas contas na nuvem e obter visibilidade das configurações incorretas e vulnerabilidades da nuvem em questão de minutos.

Teste o Nessus Expert gratuitamente

GRÁTIS POR 7 DIAS

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Já tem uma licença do Nessus Professional?
Atualize para o Nessus Expert gratuitamente por 7 dias.

Comprar o Nessus Expert

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte