Quer prescrever agora mesmo com a Mevo?
Acesse aquiPor Luiza Rocha e Roberto Leite
À medida que as pessoas e empresas se tornam mais dependentes da tecnologia para armazenar e compartilhar informações, a segurança, por sua vez, torna-se assunto cada vez mais crucial.
Essa dependência traz consigo riscos significativos. Nesse contexto, a análise de riscos de segurança da informação é uma ferramenta crucial para permitir a identificação e futura mitigação de potenciais ameaças.
Neste texto, vamos explorar a importância do assunto e trazer algumas dicas e práticas para descomplicar um tema tão relevante e necessário na construção de ambientes empresariais tecnologicamente seguros.
Para se construir um plano operacional de gestão de segurança cibernética eficiente é necessário focar na tríade processos, pessoas e tecnologia.
Em relação aos processos, devem ser criadas e documentadas diretrizes que estabeleçam como deve ser pautada a conduta dentro da empresa em relação à segurança cibernética.
O segundo eixo, o de pessoas, é crucial, pois não adianta ter processos ou tecnologias, sem o engajamento da empresa. Por isso, o plano operacional de gestão de segurança deve prever o treinamento constante do time, além do fomento à cultura de segurança da informação feito por todos os colaboradores, especialmente a alta liderança, objetivando minimizar a ocorrência de falhas humanas.
Não podemos ver o assunto como um tema técnico isolado, por isso devemos trazê-lo para deliberações dos times da empresa como um todo e não apenas do departamento de engenharia e tecnologia. Isso é simples, mas faz toda a diferença no dia a dia.
Por fim, deve haver o investimento em tecnologias que permitam garantir a segurança dos processos e ativos da empresa, bem como auxiliar o time na condução das atividades diárias. Cada setor e o nível de maturidade da empresa terá uma necessidade diferente e é importante ter esse tipo de assessment. Mas reforça-se: não adianta ter ferramentas robustas sem um time treinado e sem procedimentos eficientes.
A partir dessas três etapas, é possível aumentar a prevenção e garantir uma rápida resposta no caso da ocorrência de incidentes.
A melhor forma de mapear os riscos é conhecer os processos e tê-los documentados. Não é possível identificar riscos daquilo que não se tem conhecimento. Isso pode ser feito por meio de uma rotina de atualização contínua entre as áreas de negócio.
A documentação também é essencial para garantir atualizado o conhecimento dos processos entre os colaboradores, evitando depender de pessoas específicas. Assim, no caso de alguma necessidade, é possível ter todas as informações disponíveis para trabalhar para a mais rápida e assertiva resolução.
É notório que implementar segurança cibernética em uma empresa, pode não ser uma tarefa fácil, pois demanda investimentos, maturidade e estrutura - tendo cada setor uma necessidade diferente de ponto de partida. Também devemos pensar que investimento na prevenção sempre é mais estratégico.
Quando pensamos em nível inicial é importante focar em quick wins, ou seja, medidas de baixo custo (financeiro e/ou operacional) que podem trazer altos resultados. Isso passa, inclusive, por investir em instruir o time e criar uma cultura de segurança que possibilite a minimização da ocorrência de falhas humanas (ex: phishing).
Conforme a maturidade em segurança for crescendo, deve haver o aumento de investimento em ferramentas tecnológicas mais robustas (ex: SIEM), além de manter o time capacitado e engajado. Em muitos casos é possível contratar consultorias especializadas para focar no seu investimento de forma assertiva.
A gestão de monitoramento deve ser baseada, primeiramente, no contexto do ambiente e suas características. Por exemplo, um ambiente Cloud tem necessidades diferentes de um ambiente On Premise.
Além disso, é fundamental que todas as superfícies de ataque sejam consideradas, no qual processos bem definidos, documentações estruturadas, mapeamento de riscos, ferramentas adequadas e a construção de times capacitados são fundamentais para um monitoramento de segurança efetivo.
Outro ponto fundamental é a criação de playbooks que funcionarão como guias de atuação, documentando episódios, eventuais falhas e servindo de insumo para futuras correções.
Com relação aos tipos de tecnologia indicados para apoio ao processo de monitoramento podem ser citados alguns exemplos como o SIEM, CSPM, SAST, DAST, DLP e CASB.
Já os indicadores podem ser construídos por meio dos resultados dos próprios processos de monitoramento, como dados gerados pelas tecnologias utilizadas por cada companhia para esse fim, como alertas e notificações.
Esses indicadores são fundamentais para criar uma gestão mais eficiente, além de permitir que as tomadas de decisão estratégica ocorram de forma mais assertiva. Por último, também servem como base de melhoria do próprio processo de monitoramento, minimizando a ocorrência de falsos positivos e fortalecendo a importância da gestão baseada em dados.