Início
Início
Solicite uma demonstração

Perguntas que cada CISO deveria estar a fazer ao desenvolver a sua estratégia de Cibersegurança

Partilhar
  • Cayley Wetzig, Director de Comunicação de Marketing

O principal objectivo do Chefe de Segurança da Informação é impedir a sua organização de qualquer forma de quebra de segurança.

A melhor mentalidade para alcançar este objectivo é uma mentalidade de crescimento com a perspectiva de que uma brecha tem ou já está a acontecer. Por conseguinte, os CISOs devem continuamente colocar questões a si próprios e à sua equipa - com o objectivo de implementar a estratégia de segurança cibernética mais eficaz para o seu ambiente operacional único.

perguntas de segurança cibernética, perguntas de segurança cibernética para fazer o seu ciso

Pense 10 Passos em Frente

Cada CISO deveria esperar o melhor mas planear o pior. Devem pensar no efeito de ondulação de cada decisão e em como uma mudança ou risco perdido pode levar a múltiplos ataques. 

Como conselhos de Sun Tzu relativamente à formulação de uma estratégia, "Não dependam de o inimigo não atacar; dependam antes de ter uma posição que não possa ser atacada". No planeamento para realizar esta última, aqui estão algumas sugestões de perguntas que cada CISO deveria fazer:

1. Onde me sinto mais confortável e seguro na minha posição de ciber-segurança empresarial?

Isto pode não parecer um ponto de preocupação baseado na percepção de ser forte neste objectivo da sua estratégia global de segurança. Com demasiada frequência, em tais situações, existe um elemento da natureza humana para "defini-lo e esquecê-lo". O adversário inteligente reconhece que é da natureza humana não estar tão vigilante quando existe um sentimento de segurança e protecção e atacá-lo-á onde se sentir mais forte. Portanto, continue a procurar formas de melhorar as suas actuais posições confortáveis.

2. Até que ponto conheço bem o ambiente operacional da minha organização?

O ambiente operacional de qualquer organização é de incerteza quanto à fonte e ao momento de um potencial ciberataque.

As CISOs precisam de compreender plenamente a sua rede e todas as suas ligações com outros sistemas, tanto internos como externos. Ter um bom controlo de todas as ligações externas, aplicações em nuvem e dispositivos pessoais onde os dados são acedidos ajudará a mitigar a incerteza e a manter a organização segura. Pode ajudar a identificar melhor as áreas de risco e assegurar a existência de medidas adequadas de protecção contra qualquer actividade maliciosa ou violações de dados provenientes de fontes externas.

A transformação digital tem tido e continua a ter um impacto dinâmico no ambiente operacional de uma organização. A acessibilidade cada vez mais ubíqua da Internet aliada a uma força de trabalho móvel e a uma propriedade intelectual digital sensível cria uma superfície de ciberataque crescente e uma estratégia de segurança muito necessária.

Os ambientes operacionais estão em constante mudança, com diferentes graus de complexidade, riscos e ameaças. As pessoas podem, e irão, desenvolver hábitos de resposta a situações stressantes com base na forma como são treinadas e preparadas através da prática.

Protocolos padronizados

Tem protocolos fortes em vigor que todos os empregados, gestores e departamentos seguem quando adicionam novas formas de tecnologia à sua rede? Com múltiplas gerações a acrescentar novas tecnologias gráficas, outsourcing para utilizar diferentes fornecedores, sistemas de pagamento, etc., cada novo sistema ligado é um risco acrescido. E quanto às aplicações externas que os seus empregados ligam as suas contas de correio electrónico para obter acesso? Por exemplo, com o novo ChatGPT, até que ponto isso é controlado na sua organização?

Para alguns que se inscrevem, quando se ligam, dão ao seu Gmail acesso à inscrição. Até que ponto sabe que essas novas plataformas não estão a ganhar mais acesso do que deveriam? Será que os seus empregados lêem realmente a informação de segurança? E quanto à outra nova tecnologia que sai que eles decidem descarregar, utilizar para aceder aos seus dispositivos ou ligar-se? 

Sabe a quem pertence o IP - por exemplo - o seu empregado partilha as suas informações ou os seus segredos comerciais dentro desta plataforma? Quem é o seu proprietário agora? E se esse produto for violado? Como é que esses vendedores terceiros acedem aos dados dos seus empregados? E quanto a todas as vulnerabilidades que se desenvolvem com novas ligações API? Com cada nova integração, abre-se vulnerabilidades dentro da sua rede. Algumas formas de mitigar rapidamente esses riscos são a formação em segurança de aplicações, porque ensina as principais vulnerabilidades.

A existência de directrizes rigorosas é também imperativa. Em algumas grandes empresas tecnológicas, elas bloqueiam certos produtos no seu conjunto.

3. Como melhorar a consciência situacional de forma organizacional e individual?

A consciência situacional é a consciência adaptativa, externamente dirigida, construída sobre o conhecimento de um ambiente de tarefas dinâmicas e acção dirigida (isto é, comportamento) dentro desse ambiente. É a utilização do sistema sensorial de um indivíduo para analisar o seu ambiente com o objectivo de identificar ameaças no presente ou projectar essas ameaças para o futuro.

A falta de consciência situacional foi determinada como sendo a causa número um do erro humano. Mesmo as pessoas mais experientes podem carecer de consciência situacional; especialmente quando executam tarefas que se tornaram rotineiras e são percebidas como mundanas.

A aprendizagem tradicional baseada no conhecimento é a base para o crescimento contínuo da base de conhecimentos de segurança do indivíduo. Os modelos de aprendizagem baseados em competências são utilizados para criar uma experiência que exija que o funcionário aplique os conhecimentos, através de cenários práticos onde todas as variáveis, relativas ao seu papel, simulam um evento que possa experimentar no desempenho diário das suas tarefas atribuídas. A retenção do conhecimento é melhor conseguida através da "aprendizagem pela prática". A integração da aprendizagem baseada no conhecimento e nas competências como programa de formação proporciona a plataforma mais adequada para a retenção do conhecimento e melhoria do comportamento de segurança desejado.

É estratégico ser proactivo, resiliente e capaz de ser adaptável, flexível e manobrável num ambiente de fricção e desordem.  

Identificar as Áreas de Risco Específico

Frequentemente, para obter os melhores resultados, uma CISO adapta a sua estratégia a toda a organização, mas depois aborda cada área individualmente o melhor que pode. Muitos bolsos de utilizadores experimentam diferentes tipos de riscos e é importante ter em conta estes numa estratégia.

perguntas de segurança cibernética, perguntas de segurança cibernética para fazer o seu ciso

Dispositivos/Produtos Populacionais Específicos da Força de Trabalho

Por exemplo, talvez uma população de empregados venha do Gen Z - podem ter uma formação diferente de que necessitam para compreender melhor algumas das ameaças à segurança na sua rede. Podem também utilizar diferentes redes sociais que começam agora a ser vistas como riscos de segurança. O TikTok foi proibido em certas redes governamentais - alguns peritos em segurança até proíbem activamente os seus pares perto deles se a aplicação estiver no telemóvel dos seus pares devido a preocupações de segurança. Também podem ser mais propensos ao trabalho remoto - por isso podem precisar de formação extra sobre as melhores práticas para o trabalho remoto.

Dispositivos/Produtos Populacionais de Liderança Específica

Algumas populações de liderança de topo também precisam de ser levadas em consideração. Será que têm mais acesso a "informação privilegiada"? Estão frequentemente envolvidos em informação muito sensível? Tem havido mesmo histórias de empresas de topo que trazem bloqueadores para as reuniões de líderes de topo para bloquear qualquer forma de vigilância - dependendo das ameaças à segurança da empresa, por vezes não é uma má opção. No entanto, verifique as leis do seu governo porque por vezes é ilegal.

Dispositivos/Produto "Dutites" de Departamentos Específicos e de Trabalho

Em alternativa, os outros demográficos podem ser baseados em funções específicas ou necessidades departamentais. Por exemplo, as funções relacionadas com as vendas têm mais deveres de trabalho como ligar de áreas remotas, partilhar informação pública com potenciais clientes, falar em áreas públicas onde os espectadores possam estar a ouvir, trocar mensagens com estranhos, etc. Por vezes, os vendedores precisam de responder imediatamente a pedidos urgentes da C-Levels ou mesmo de potenciais clientes para fechar negócios. Estes "pedidos urgentes" são também material de formação sobre sensibilização em matéria de segurança para esquemas de phishing - pelo que os vendedores precisam de saber quando algo é de facto uma fraude ou parte do seu trabalho.

Também, para alguns departamentos, podem estar a receber mais mensagens recebidas de estranhos. Se a sua organização tem um braço de investimento, podem estar a receber e-mails frios de empresários ávidos interessados em mostrar a sua agitação - o que significa que pode ser visto como admirável ou como um risco de segurança. As CISOs precisam de ter em conta todas as formas de funções, deveres, actividades diárias, etc. dos empregados para construir a infra-estrutura de segurança mais robusta e expansível.

Por último, é também importante considerar as suas bases de dados de terceiros ou infra-estruturas de nuvens. Algumas empresas e indústrias são inflexíveis quanto a terem o seu armazenamento na nuvem no seu próprio servidor e não partilhado com quaisquer outras empresas no caso de algo ser acidentalmente atravessado. Algumas empresas chegam ao ponto de ter a sua localização na nuvem numa determinada região com base em leis governamentais ou mesmo leis estatais. Esses vendedores de nuvens são normalmente cumpridores da SOC, o que significa que têm de seguir certos protocolos, mas alguns CISOs preferem ser excessivamente cautelosos a pôr em risco as violações de segurança por parte de terceiros.

4. Quais são as actuais ameaças às quais esta organização é mais vulnerável à exploração?

Na guerra cibernética de segurança, o(s) método(s) de ataque a ser utilizado(s) pode(m) ser abordado(s) através de informações sobre ameaças. As vulnerabilidades mais significativas a abordar são as que se encontram dentro do ambiente operacional único da organização ou do papel individual mais facilmente exploradas por esses TTPs. Este auto-exame rigoroso requer mais do que uma análise anual de vulnerabilidade ou um teste de penetração. Tal esforço exige um planeamento antecipado e um auto-exame rigoroso.

A identificação da facilidade de exploração das maiores ameaças cibernéticas à organização pode direccionar o foco para a melhoria da segurança nas áreas de maior risco.

Dar prioridade aos riscos cibernéticos que a sua empresa enfrenta move a sua estratégia de segurança cibernética de reactiva para pró-activa.

5. Como estamos a gerir o nosso risco de terceiros e onde é que há espaço para melhorias?

Embora tenhamos abordado anteriormente alguns destes riscos de forma mais granular, o risco de terceiros em toda a organização é uma consideração primordial da CISO. Tem sido tipicamente abordado de forma siloada, com os indivíduos da organização a olharem para riscos específicos, geralmente dentro da cadeia de fornecimento. A gestão proactiva dos riscos para certas funções ou aspectos do negócio pode ter sido certa em determinada altura, mas a crescente dependência de terceiros como parte integrante das operações da organização requer uma exposição comercial mais ampla, a fim de se obter uma compreensão da exposição global ao risco empresarial criado pela operação com estes terceiros externos.

A realidade de que estes vendedores terceiros podem não ter os mesmos controlos ou processos de segurança que a sua organização tem, significa responsabilizar todos os vendedores terceiros pelos controlos e normas de segurança apropriados para assegurar que quaisquer dados armazenados ou processados permanecem seguros.

Em muitos países, a conformidade de terceiros é um requisito legal.

6. Quão resiliente é a minha organização?

Muitas organizações têm políticas e procedimentos em vigor como parte da conformidade regulamentar. O elemento mais importante para ser resiliente é a eficiência na execução dessas políticas e procedimentos num ambiente cheio de caos, incerteza, e as emoções resultantes que afectam a tomada de decisões.

A execução mais eficiente das políticas e procedimentos que foram estabelecidos é o produto da "aprendizagem pela prática" e dos hábitos comportamentais que tal formação cria. Os cenários de formação que envolvem vectores de ataque mais prováveis a serem utilizados por um adversário no seu ambiente operacional prepararão melhor a equipa para responder de uma forma que conduza mais rapidamente a um regresso às operações normais.

As principais partes interessadas e os decisores através do aconselhamento interno e externo, relações públicas, recuperação de desastres, comunicações de crise, continuidade de negócios, segurança, e liderança executiva devem ser envolvidos neste cenário. Esta é também uma boa oportunidade para alinhar os recursos para a tomada de decisões que possam ser necessários (ou seja, quem vai liderar que fluxo de trabalho e como será o processo de tomada de decisões?

7. Estamos a investir estrategicamente no nosso programa de defesa da ciber-segurança?

O modelo Defense-in-Depth da maioria das organizações foi, na sua maioria, conduzido tacticamente, com pouca ou nenhuma estratégia, em resposta à notificação pública de uma violação e à subsequente tecnologia/solução do fornecedor de segurança proposta como resposta para proteger uma organização de ser vítima do mesmo ou similar vector de ataque.

O resultado, em demasiados casos, é uma organização com mais de cinquenta tecnologias que, na sua maioria, não estão integradas e são limitadas na sua capacidade de se complementarem de uma forma que cria um efeito sinergético e coloca um adversário numa situação inescapável e sem esperança, também conhecida como os "cornos de um dilema" que faz com que o atacante responda às acções do defensor e aumenta o custo do adversário se este quiser manter o ataque.

Mais uma vez, o conselho de Sun Tzu serve de conselho: "Estratégia sem táctica é o caminho mais lento para a vitória; táctica sem estratégia é o barulho antes da derrota!

A melhor estratégia é aquela que ataca e derrota a estratégia do seu oponente. O processo de gestão estratégica para desenvolver tal estratégia começa com a determinação da missão estratégica, visão e objectivos, seguida por uma análise ambiental e organizacional e, em seguida, a formulação da estratégia a ser implementada.

A resposta a estas perguntas fornecerá conhecimentos para ajudar nas fases de análise ambiental e organizacional e formulação de estratégias e contribuirá para o desenvolvimento dessa melhor estratégia.

Em Resumo

A resposta a estas perguntas fornecerá conhecimentos para ajudar nas fases de análise ambiental e organizacional e formulação de estratégias e contribuirá para o desenvolvimento da melhor estratégia. Pensar dez passos à frente do que poderia resultar se uma parte fosse quebrada é a melhor solução para conceber a mais abrangente estratégia de ciber-segurança - tudo isto enquanto se está aberto a melhorá-la à medida que surgem novas ameaças. 

ThriveDX Security Awareness Training tem em conta as paisagens de risco contínuas e a formação pró-activa e reactiva para todos os tipos de empregados é um passo para evitar que ataques cibernéticos aconteçam. 

ThriveDX Application Security Training ajudará a conceber as ameaças de programação mais comuns para ajudar a bloquear buracos que podem tornar-se grandes riscos que se tornam duplicados porque as vulnerabilidades do código são como dizer a um construtor para construir uma casa da forma errada - uma vez que o construtor ensina os novos construtores, a escala das vulnerabilidades.

Procure saber mais sobre como ThriveDX pode ajudar com a sua estratégia.

Proteja a sua Organização contra Phishing

solicitar uma demonstração
Partilhar

Explorar mais recursos

  • Artigo

9 Dicas mais importantes de Cibersegurança para os seus Empregados

As organizações estão inundadas com dicas de segurança cibernética - mas quais são as mais importantes
  • Artigo

8 Ameaças Cibernéticas de Segurança Móvel que Deve Levar a Sério

Entre 80 a 90% das aplicações móveis contêm uma vulnerabilidade de segurança. Saiba mais sobre a
  • Artigo

Zoom Cybersecurity and Privacy Strategies

O crescimento do Zoom durante e após a Covid acelerou o trabalho em áreas remotas. No entanto, a videoconferência
  • Artigo

8 Razões Surpreendentes Hackers Alvo das Escolas

Os hackers têm como alvo as escolas por uma série de razões. Para roubar dados de investigação, aprender segredos comerciais
Recursos da empresa

A sua Fonte Fidedigna para a Educação Cibernética

Inscreva-se na newsletter trimestral da ThriveDX para receber informação sobre as últimas tendências de segurança cibernética, tomadas de peritos, notícias de segurança e recursos gratuitos.

Inscrição
Twitter Facebook-square Linkedin

Juntámo-nos à ThriveDX!

Para aprofundar o nosso compromisso de criar impacto geracional com a melhor educação cibernética global para a transformação de vidas, a Cybint é agora um membro orgulhoso da família ThriveDX.
DESCARREGUE A SUA CÓPIA GRATUITA
Close-link
Powered by Convert Plus

Contactar as Parcerias ThriveDX

[forminator_form id="10629″]

Se estiver à procura de ligação com alguém da nossa equipa no local, por favor deixe aqui as suas informações de contacto e nós ligar-nos-emos directamente a si durante a conferência.

Ligue-se à nossa equipa

Nome(Obrigatório)

Saltar para o conteúdo