Definindo e entregando uma estratégia de segurança cibernética eficaz

O ponto de partida é identificar e direcionar as ameaças mais relevantes para o seu negócio. Se você é um participante importante em uma cadeia de suprimentos global, por exemplo, pode ser o alvo de grande escala Cadeia de suprimentos DISRUPÇÃO. Se você é responsável por executar a infraestrutura nacional crítica, pode, por sua vez, encontrar-se na linha de tiro para um ataque patrocinado pelo Estado. 

You can’t eliminate cyber risks altogether, so it’s important to gauge not just how much risk you’re prepared to accept, but also where and when. 

O custo não é o único critério para definir seu apetite por risco. Como uma violação afetaria sua reputação? Operacionalmente, quanto tempo você pode se dar ao luxo de diminuir seus sistemas se eles forem comprometidos? 

Como os recursos são finitos, é importante alinhar os níveis de investimento em segurança cibernética com seu apetite por risco nas diferentes dimensões de prevenção, resposta e recuperação. Se sua principal prioridade é reduzir a probabilidade de um ataque acontecer em primeiro lugar, você pode optar por priorizar o investimento na identificação e proteção contra o risco que você enfrenta. No entanto, se você estiver preparado para aceitar um risco maior de ataque ou se estiver se aproximando de retornos decrescentes de investir ainda mais na redução da probabilidade, o peso do investimento deve se concentrar na detecção, resposta e recuperação rápidas para minimizar o impacto dos ataques quando ocorrerem. 

Definir seu apetite de risco cibernético é uma pergunta fundamental a ser abordada e acordada com sua liderança, e não com a equipe de segurança da informação isolada. Os resultados afetam a estratégia de negócios em áreas -chave como Inovação digital e como você usa dados, além de afetar o gerenciamento de riscos corporativos e o planejamento de continuidade de negócios. 

Com base em uma avaliação das ameaças que você enfrenta e seu apetite pelos riscos associados, você pode começar a definir objetivos definidos e medir o progresso contra eles. 

Definir metas de risco e maturidade permitirá que você tenha discussões informadas por risco à medida que progride, além de poder relatar claramente a maturidade de suas capacidades para detectar e responder a ataques cibernéticos. Isso ajudará você a demonstrar seu nível de Resiliência cibernética para liderança, acionistas e reguladores, conforme necessário. O uso de estruturas reconhecidas da indústria, como o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) Cyber ​​Security Framework (LCR), geralmente pode ajudar a demonstrar que você está se alinhando a boas práticas. Isso também permitirá discussões sobre quais recursos gerarão o maior benefício de segurança para você. 

No entanto, estruturas como o NIST CSF podem não ser suficientes para medir o progresso por conta própria. A regulamentação está elevando a fasquia para empresas que mantêm grandes volumes de dados pessoais, bem como os responsáveis ​​por infraestrutura nacional crítica ou operando em indústrias altamente regulamentadas, como serviços financeiros. Os principais requisitos incluem o Regulamento Geral de Proteção de Dados (GDPR) e a Diretiva de Segurança de Rede e Informação (NIS2), juntamente com a Lei de Resiliência Operacional Digital, cobrindo os Serviços Financeiros especificamente. Nos EUA, desenvolvimentos como as regras da SEC sobre a divulgação de incidentes de segurança significam que as empresas listadas na SEC precisam relatar incidentes cibernéticos materiais dentro de quatro dias depois de ocorrerem. Conseguir e demonstrar a conformidade com os regulamentos aplicáveis ​​provavelmente será a meta mínima para recursos de detecção, resposta e recuperação.  

A responsabilidade pela segurança cibernética vai além dela. O ponto de partida para fornecer sua estratégia de segurança cibernética é, portanto, determinar quem faz o quê. O que a 'equipe de segurança' faz contra a equipe de TI mais ampla e o resto do negócio? Por exemplo, é responsabilidade da equipe de segurança definir políticas e padrões (para outras funções cumprirem) e depois fornecer governança e garantia? Ou o papel deles para realmente oferecer recursos de segurança cibernética? 

também é importante definir claramente o escopo da cobertura. Sua estratégia está focada em garantir o escopo completo dos recursos de negócios em sua organização? Qual o papel que ele desempenha no gerenciamento de terceiros, trabalhadores remotos, tecnologia operacional (por exemplo, equipamentos de fabricação digital em fábricas) e dispositivos da Internet das Coisas? Onde está a responsabilidade pelo planejamento de continuidade dos negócios? Todos esses aspectos precisam ser reproduzidos nas considerações do modelo operacional. 

Trabalhando para estabelecer um modelo claro de 'três linhas de defesa' geralmente é uma boa prática. 

• A primeira linha de defesa deve incluir as equipes operacionais (TI e a empresa) responsáveis ​​por identificar e gerenciar os riscos de segurança. 
• A segunda linha é a equipe de gerenciamento de riscos que projeta a estrutura de gerenciamento de riscos e supervisiona sua operação pela primeira linha.
• A terceira linha é uma auditoria interna, que deve monitorar e garantir a eficácia e a aplicação das defesas. 

Outras considerações importantes incluem até que ponto a segurança da informação pode ser centralizada e se há espaço para a adaptação por unidade de negócios ou território operacional. Você protege tudo de maneira igualmente ('levantar todos os barcos') ou é espaço para alfaiataria baseada em risco por região ou função? 

Dados o aumento dos riscos cibernéticos e as expectativas regulatórias, outras considerações incluem o grau em que você possui as capacidades-tecnologia e talento escasso-para gerenciar a segurança interna versus a terceirização para os provedores de serviço gerenciados. 

As with any investment, cyber security strategies should be subject to cost-benefit analysis. 

Uma avaliação clara de risco - do impacto residual e da probabilidade - ajudará a garantir que a proteção seja priorizada e os fundos sejam direcionados onde possam ser mais eficazes. Em alguns casos, os custos de proteção superariam o potencial impacto financeiro de um ataque. Por sua vez, mais tecnologia nem sempre pode ser a opção mais econômica quando comparada ao investimento em treinamento, conscientização e preparações para a resposta a incidentes. Você não deve subestimar o que é necessário para mobilizar e entregar com sucesso esses programas, nosso

Delivery of your cyber strategy will inevitably result in the need to establish a project, programme or portfolio of work depending on the scale of security improvements required to achieve your risk targets. You should not underestimate what it takes to successfully mobilise and deliver these programmes, our A verificação de saúde pode ajudá-lo a ver se você está gerenciando o risco cibernético da sua organização de maneira eficaz. Gerenciamento de acesso (IDAM). Os projetos de segurança envolvem muito mais do que apenas fornecer soluções de tecnologia. A mudança em direção à maturidade exige uma mudança de mentalidade de ver a segurança cibernética como um problema técnico de TI para fazer parte da vida profissional de todos e uma base essencial para o sucesso dos negócios, semelhante à saúde e segurança.  Some cyber projects can also be disproportionately challenging to deliver due to their intersection with core IT systems, everyday business processes (e.g. logging-in to critical applications) and broad user impact such as Identity and Access Management (IDAM).

Cutting across the delivery of your cyber security strategy is the need for effective change management. Security projects involve far more than just delivering technology solutions. Moving towards maturity requires a shift in mindset from seeing cyber security as a technical IT problem to being part of everyone’s working life and a key foundation for business success, akin to health and safety. 

As we highlighted in ‘Making business sense of cyber risk’, the key to keeping pace with evolving threats is a systematic approach to assessing the risks, evaluating progress in addressing them and communicating this to your leadership. Conveying the risks in an intelligible way will enable senior management to judge the trade-offs and prioritise actions and resources. 

idealmente, cada elemento de um portfólio de segurança cibernética priorizada aumentará a maturidade do programa e levará a uma redução mensurável no risco. Mas tudo o que conta nem sempre pode ser contado. Primeiro, as avaliações de maturidade não são uma ciência exata. Em segundo lugar, embora alguns projetos estabeleçam as fundações de melhoria, será necessária uma combinação adicional de pessoas, tecnologia, dados e recursos de governança para fornecer a elevação e os resultados desejados. Portanto, é importante desenvolver uma abordagem pragmática da governança que mantém o rigor, ao mesmo tempo em que você se repriorize e responde a riscos emergentes.

The purpose of the cyber security strategy is to outpace the constantly shifting threats. So it’s important to develop a pragmatic approach to governance that maintains rigour whilst allowing you to reprioritise and respond to emerging risks.