Gajus - stock.adobe.com
Guia passo-a-passo para desenvolver uma estratégia de cibersegurança
Uma estratégia de cibersegurança não deve se pretender perfeita, mas ser proativa, eficaz, ativamente apoiada e em evolução. Aqui estão os quatro passos necessários para chegar lá.
Uma estratégia de cibersegurança é um plano de alto nível para a forma como a sua organização irá assegurar os seus ativos durante os próximos três a cinco anos. Obviamente, porque tanto a tecnologia como as ameaças cibernéticas evoluem de forma imprevisível, será preciso atualizar a sua estratégia antes de três anos. Uma estratégia de cibersegurança não pretende ser perfeita; é um palpite bem educado sobre o que deve fazer. A sua estratégia deve evoluir à medida que a sua organização e o mundo à sua volta evoluem.
O resultado pretendido do desenvolvimento e implantação de uma estratégia de cibersegurança é que os seus ativos estão mais seguros. Isto em geral envolve mudar de uma abordagem de segurança reativa para uma abordagem proativa, onde o foco está mais na prevenção de ataques e incidentes cibernéticos do que em consertar o dano que provocam. Mas uma sólida estratégia de cibersegurança também preparará melhor a sua organização para responder aos incidentes que porventura aconteçam. Ao evitar que incidentes menores se tornem grandes, é possível preservar a sua reputação e reduzir os danos à organização e aos seus empregados, clientes, parceiros e outros.
Como construir uma estratégia de cibersegurança para o seu negócio?
Construir uma estratégia de segurança cibernética para o seu negócio exige esforço, mas pode significar a diferença entre superar os seus concorrentes e sair do negócio nos próximos anos. Aqui estão os passos básicos para desenvolver a sua estratégia.
Passo 1. Compreender o seu cenário de ameaça cibernética
Antes de poder compreender o seu cenário de ameaça cibernética, é necessário examinar os tipos de ataques cibernéticos que a sua organização enfrenta atualmente. Que tipos afetam hoje a sua organização com maior frequência e mais severamente: malware, phishing, ameaças internas ou qualquer outra coisa? Os seus concorrentes tiveram grandes incidentes recentemente? Se sim, que tipos de ameaças os causaram?
A seguir, atualize-se com as tendências previstas de ameaças cibernéticas que afetariam a sua organização. Por exemplo, muitos pesquisadores de segurança sentem que o ransomware vai tornar-se uma ameaça ainda maior à medida que os seus resultados melhorarem. Há também uma preocupação crescente com as ameaças da cadeia de fornecimento, como a compra de componentes comprometidos e a sua utilização dentro da sua organização ou seu uso na construção de produtos para seus consumidores. Compreender que ameaças irá enfrentar no futuro e a provável gravidade de cada uma dessas ameaças é fundamental para construir uma estratégia eficaz de cibersegurança.
Passo 2. Avaliar a sua maturidade em cibersegurança
Assim que souber o que irá enfrentar, será preciso fazer uma avaliação honesta da maturidade cibersegurança da sua organização. Selecione um quadro de cibersegurança, como o NIST Cybersecurity Framework. Utilize-o primeiro para avaliar a maturidade da sua organização em dezenas de diferentes categorias e subcategorias, desde políticas e governança até tecnologias de segurança e capacidades de recuperação de incidentes. Esta avaliação deve incluir todas as suas tecnologias, desde as TI tradicionais até à tecnologia operacional, IoT e sistemas “figitais”, ou “ciberfísicos” .
Em seguida, utilize o mesmo framework de cibersegurança para entender onde a sua organização deverá estar nos próximos três a cinco anos em termos de maturidade para cada uma dessas categorias e subcategorias. Se os ataques distribuídos de negação de serviço forem uma grande ameaça, por exemplo, então poderá querer que as suas capacidades de segurança de rede sejam particularmente maduras. Se o ransomware for o seu maior problema de segurança, é preciso amadurecer muito suas capacidades de backup e recuperação –algo fundamental neste cenário. Se as políticas de trabalho remoto conduzidas pela COVID-19 se tornarem permanentes, as ferramentas temporárias implantadas durante a pandemia terão de ser fortalecidas. Os níveis de maturidade que está a visar são os seus novos objetivos estratégicos.
Passo 3. Determine como melhorar o seu programa de cibersegurança
Agora que sabe onde está e onde quer estar, precisa de descobrir as ferramentas de segurança cibernética e as melhores práticas que o ajudarão a chegar ao seu destino. Nesta etapa, determinará como melhorar o seu programa de cibersegurança de modo a atingir os objetivos estratégicos que definiu. Todas as melhorias consumirão recursos –dinheiro, tempo da equipe, etc. Você terá de pensar em diferentes opções para alcançar os objetivos e os prós e contras de cada opção. E pode ser que decida terceirizar algumas ou todas as suas tarefas de segurança.
Quando tiver selecionado um conjunto de opções, irá querer apresentá-las à direção superior da sua organização para revisão, feedback e –esperemos– apoio. A alteração do programa de cibersegurança pode afetar a forma como o negócio é feito, e os executivos precisam compreender isso e aceitá-la como sendo necessária para proteger suficientemente a empresa das ameaças cibernéticas. A direção superior pode também estar ciente de outros planos para os próximos anos, para os quais os seus esforços podem ser vantajosos.
Passo 4. Documente a sua estratégia de cibersegurança
Uma vez obtida a aprovação da direção, é necessário assegurar que a sua estratégia de cibersegurança seja documentada minuciosamente. Isto inclui a redação ou atualização de avaliações de risco, planos de cibersegurança, políticas, diretrizes, procedimentos e tudo o que for necessário para definir o que é necessário ou recomendado a fim de alcançar os objetivos estratégicos. Tornar claro quais são as responsabilidades de cada pessoa é fundamental.
Ao redigir e atualizar estes documentos certifique-se de que você tem a participação ativa e o feedback das pessoas que irão fazer o trabalho associado. Também precisa de ter tempo para lhes explicar as razões para estas mudanças e sua importância no contexto geral para que, espera-se, as pessoas as aceitem e as apoiem mais.
E não se esqueça que a sua estratégia de cibersegurança também necessita atualizar a sua consciência de segurança cibernética e os seus esforços de formação. Todos na organização têm um papel a desempenhar na mitigação das questões de segurança e na melhoria do seu programa de cibersegurança empresarial. À medida que o seu perfil de risco muda, a sua cultura de cibersegurança também deve mudar.
Conclusão
O desenvolvimento e implantação de uma estratégia de cibersegurança é um processo contínuo e irá apresentar muitos desafios. É extremamente importante que monitore e reavalie periodicamente a maturidade em cibersegurança da sua organização para medir o progresso que está a fazer –ou não está a fazer– em direção aos seus objetivos. Quanto mais cedo identificar uma área que esteja atrasada, mais cedo poderá abordá-la e recuperar o atraso. A medição do progresso deve incluir auditorias internas e externas, testes e exercícios que simulem o que aconteceria em diferentes circunstâncias, como um incidente importante de ransomware.
Finalmente, esteja preparado para repensar a sua estratégia de cibersegurança caso surja uma nova ameaça. A agilidade na segurança é cada vez mais importante. Não tenha medo de atualizar a sua estratégia à medida que as ameaças cibernéticas e as tecnologias de segurança mudam e que a sua organização adquire novos tipos de bens que precisam ser protegidos.