Nos últimos anos, os conselhos de administração tornaram-se mais interessados em entender o nível de risco de suas organizações e se o CISO (Chief Information Security Officer) e as equipes de segurança estão fazendo tudo o que podem para se defender contra ameaças potenciais.
Na verdade, de acordo com a recente pesquisa feita pelo Gartner em 2021, as vulnerabilidades de segurança cibernética foram identificadas como a segunda maior fonte de risco para uma empresa, superada apenas pelo risco de conformidade regulatória.
Com o aumento do interesse pela segurança cibernética no nível do conselho, os CISOs devem estar preparados para falar com seus conselhos regularmente para comunicar o nível de risco que suas organizações enfrentam e conscientizar sobre os tipos de medidas preventivas que estão sendo tomadas para reduzir esse risco.
A necessidade de investir preventivamente em segurança cibernética
Os CISOs devem comunicar ao conselho que, embora a organização possa ter as ferramentas de segurança certas, o time de segurança adequado, os processos atualizados, as vulnerabilidades podem não ser descobertas até que as organizações tenham tempo e recursos para investigar o incidente em seus próprios sistemas.
Além disso, as soluções instaladas na infraestrutura de TA e redes complexas, como IoT, podem ser difíceis de atualizar sem afetar os negócios do dia-a-dia. As organizações geralmente executam softwares desatualizados, o que pode deixar “portas” abertas para pessoas mal-intencionadas.
Como resultado, a segurança cibernética preventiva é um pilar fundamental para que as organizações fortaleçam sua postura de proteção, identifiquem ameaças desconhecidas e se defendam contra vulnerabilidades internas e externas.
A comunicação sobre segurança cibernética com os conselhos da empresa
Para ajudar a capacitar sua diretoria a compreender o risco de cibersegurança da sua organização por meio da segurança da informação, os CISOs devem estar preparados para abordar as seguintes áreas principais.
- Descreva o tipo de avaliação de segurança cibernética que é realizado na empresa
Frequentemente, os CISOs começam pulando imediatamente para as descrições do nível de risco da organização, mas a recomendação é dar um passo para trás e começar descrevendo que tipo de avaliação de segurança cibernética as equipes de TI realizam para identificar o risco em primeiro lugar.
Descreva para o conselho se a ameaça é algo facilmente definido e identificado, como uma vulnerabilidade conhecida, ou algo mais sofisticado, como uma ameaça persistente avançada.
Discuta se foi descoberto por meio de testes de penetração de rotina ou a equipe de segurança estava investigando um aplicativo específico. Aborde a probabilidade de a vulnerabilidade já ter sido explorada. Se ainda não foi explorado, discuta a probabilidade de sua organização ser alvo de cibercriminosos.
Organizações que lidam com dados altamente regulamentados ou que possuem propriedade intelectual procurada têm mais probabilidade de ser visadas do que outras. Esse histórico fornece um contexto importante para ajudar o conselho a compreender melhor a gravidade do risco que a organização enfrenta.
- Detalhe o impacto potencial das ameaças.
Também é importante não apenas descrever o risco, mas também explicar ao conselho o impacto potencial desse risco para a empresa se ele fosse explorado. Uma vulnerabilidade externa na organização é normalmente um problema mais sério do que uma vulnerabilidade interna.
Mas os CISOs também devem educar o conselho sobre como uma vulnerabilidade interna relativamente pequena pode ser aproveitado por cibercriminosos para criar uma ameaça maior no futuro.
Por exemplo, os cibercriminosos inteligentes irão encadear vulnerabilidades, usando informações de baixo ou médio valor para obter acesso a mais dados de alto valor, explorando o acesso do usuário e vulnerabilidades de autorização para subir na cadeia.
É por isso que é importante que as equipes de segurança cibernética explorem ainda mais a pilha de segurança ao conduzir testes de penetração, pois isso permite que eles descubram o impacto real de uma vulnerabilidade ao ver em quais dados e sistemas os invasores podem entrar.
- Identifique os processos internos que podem mitigar o risco.
Ao discutir o risco de cibersegurança com o conselho, uma pergunta frequente aos CISO é se eles devem aceitar a classificação de risco atribuída por um parceiro terceirizado ou se, em vez disso, devem usar uma classificação de risco determinada pela equipe de segurança interna.
A recomendação é manter a classificação de risco fornecida por seu parceiro terceirizado. Essa classificação é baseada na análise mais limpa e independente possível e fornece um instantâneo do risco real que a organização enfrenta antes que a equipe de segurança tenha implementado qualquer controle de compensação.
Os CISOs devem destacar para o conselho as medidas que podem ser tomadas para mitigar o risco em seu ambiente. Também é importante entender que, em muitos casos, embora o risco possa ter sido mitigado, as condições originais que criaram essa vulnerabilidade em primeiro lugar ainda podem existir na organização.
Cada vez que a organização passa por mudanças – como durante uma fusão, aquisição ou ao adicionar um novo contratado terceirizado – o cenário muda. Os controles de compensação que você implementou para mitigar um risco hoje podem não ser eficazes amanhã.
Os CISOs devem trabalhar com o conselho para ajudar os membros a compreender outros fatores, como processos organizacionais ou comportamentos dos funcionários, que afetam o risco.
- Forneça soluções práticas de correção que se encaixam no orçamento.
Muitas vezes, os provedores de segurança terceirizados não apenas ajudam a identificar as vulnerabilidades e ameaças à segurança cibernética que uma organização enfrenta, mas também fornecem conselhos sobre como corrigir os problemas e recomendar quais produtos de proteção comprar.
Os CISOs devem lembrar que são os tomadores de decisão finais, e é sua responsabilidade saber seu orçamento e o que será adequado para o conselho de diretores enquanto procuram controlar os gastos. Os CISOs devem sempre realizar a devida diligência e até considerar a contratação de uma empresa terceirizada para ajudá-los a realizar uma avaliação independente dos produtos de segurança para determinar o que é necessário.
Muitas vezes, as organizações não precisam comprar os produtos de segurança empresarial mais sofisticados, e eles podem não ter o treinamento adequado ou o nível de especialização de suas equipes de segurança para manter tais produtos.
Alguns riscos comuns de segurança cibernética podem ser corrigidos com uma mudança em uma chave de registro ou com Active Directory. Em outros casos, uma organização pode obter mais valor e melhor proteção de um serviço de segurança gerenciado.
Ao falar com seus conselhos e delinear as medidas de remediação que planejam empreender, os CISOs devem estar preparados para tratar de como se enquadram no orçamento.
Em última análise, grande parte da discussão em torno dos riscos de segurança cibernética, testes e esforços de correção dependerá da tolerância a riscos da organização. Aqueles que operam em setores altamente regulamentados terão uma tolerância menor ao risco e estarão mais dispostos a alocar o orçamento para testes, monitoramento e mitigação contínuos.
Todos os CISOs, independentemente do setor em que operam, devem estar preparados para enfrentar o escrutínio cada vez maior de seus conselhos.
Em sua pesquisa, o Gartner estimou que 40% das diretorias terão um comitê de segurança cibernética dedicado nos próximos quatro anos – um aumento significativo em relação aos menos de 10% que possuem hoje.
Estar preparado para descrever o tipo de estratégia de cibersegurança em vigor, o impacto comercial potencial dos riscos identificados e como esses esforços se alinham com o orçamento permitirá que os CISOs orientem seus conselhos na direção certa e fortaleçam a postura geral de segurança cibernética de suas organizações.