Reforçando a resiliência empresarial: Por que fazer uma avaliação de cibersegurança?
Publicado originalmente em Varejo S.A.
.
.
No dinâmico cenário empresarial, onde a inovação tecnológica avança a passos largos e o volume de dados cresce exponencialmente
No dinâmico cenário empresarial, onde a inovação tecnológica avança a passos largos e o volume de dados cresce exponencialmente, a proteção da informação emerge como um dos pilares fundamentais para a sobrevivência e o sucesso das organizações modernas. Nesse contexto, CEOs e líderes empresariais se veem diante de uma preocupação crítica: como garantir que seus sistemas e ativos estejam salvos das ameaças cibernéticas cada vez mais sofisticadas, que podem comprometer não apenas a operação, mas também a reputação de suas empresas?
Tangibilizando o contexto em números, relatórios recentes da Cybersecurity and Infrastructure Security Agency (CISA) apontam um alarmante aumento de 300% nos incidentes registrados nos últimos dois anos. O Brasil, em particular, não escapa deste panorama desafiador. Em 2020, o país testemunhou um surpreendente aumento de 330% em tentativas de ataques cibernéticos, com mais de 370 milhões de invasões a sistemas corporativos, conforme aponta pesquisa da renomada empresa de segurança digital Kaspersky. Estes ataques incluem desde invasões de ransomware paralisando operações críticas até violações de dados expondo informações sensíveis.
Uma nova pesquisa também da Kaspersky intitulada de “Fator humano” revela que mais de um quarto dos ataques cibernéticos em empresas (26%) são causados de forma intencional por funcionários insatisfeitos. Porém, é alarmante constatar que apenas 41% das empresas brasileiras possuem políticas de segurança adequadas (Núcleo de Informação e Coordenação do Ponto BR). Ademais, as violações de cibersegurança transcendem a simples exposição de dados confidenciais; elas têm implicações financeiras substanciais. Um estudo da IBM Security estima um custo médio global de US$ 4,24 milhões por violação de dados.
Com isso, um dos processos que está se tornando cada vez mais procurado entre as empresas é a avaliação do nível de maturidade em segurança da informação. Com ele as empresas conseguem, através de boas práticas, identificar e corrigir vulnerabilidades nos ambientes, trazendo maior robustez à organização e, principalmente, definir um plano diretor de segurança da informação atrelado às estratégias do business. É importante ressaltar que a maturidade em segurança da informação também impacta diretamente investidores e processos de aquisição ou de parcerias estratégicas e deve ser alinhada em todo momento de decisão.
.
.
O assessment de cyber security é guiado pelos cinco pilares de cibersegurança:
- Confidencialidade: garantia que as informações sejam acessadas apenas por pessoas autorizadas;
- Integridade: garantia que a informação é correta evitando que seja alterada por meios alternativos indevidamente;
- Disponibilidade: garantia que as informações estejam disponíveis em qualquer momento às pessoas autorizadas;
- Autenticidade: garantia da legitimidade dos dados, ou seja, de fontes confiáveis e sem manipulações indevidas;
- Legalidade: garantia de que todos os procedimentos voltados à segurança da informação estão em conformidade com a lei.
.
.
Com o intuito de ter uma ampla abrangência dentro da organização, um assessment se baseia em alguns frameworks de mercado que produzem um diagnóstico completo das companhias através de modelos que são definidos por diretrizes ou práticas recomendadas. Visam estabelecer um controle de segurança completo em sistemas empresariais, protegendo assim as informações da organização, gerenciando riscos e corrigindo fragilidades do ambiente.
Essa inteligência é fundamental para estabelecer camadas de segurança da informação, que combatam desde pequenos ataques até tentativas mais ousadas de invasões por hackers ou até possíveis condutas maliciosas de um colaborador mal-intencionado.
Os principais frameworks utilizados em segurança da informação são a norma ISO/IEC da família 27.000, o NIST Cyber Security Framework, o SOGP (The Standard of Good Practice for Information Security), o CIS (Center for Internet Security) Controls que são amplamente conhecidos e aplicados no mercado, além de terem atualizações periódicas de acordo com a evolução tecnológica e a complexidade dos ambientes.
Cada framework tem seus temas focais, formas de trabalho e entregáveis. A definição de qual, ou quais, frameworks adotar em uma empresa vai depender, principalmente, do objetivo estratégico, do risco e das iniciativas que a corporação está buscando atender, além do investimento, seguindo critérios determinados pela alta administração.
.
.
Frameworks mais comuns e seus respectivos focos:
- ISO 27001: dos diversos temas tratados, destacam-se: gestão de riscos, gestão de incidentes e gestão de continuidade de negócios que estão embutidos dentro do Sistema de Gestão de Segurança da Informação (SGSI);
- NIST Cyber Security Framework: fornece estrutura para organizar e melhorar as capacidades de cibersegurança com foco em detecção, prevenção e resposta de ataques cibernéticos;
- SOGP: boas práticas de segurança da informação com foco em: respostas a incidentes, conformidade legal, políticas, processos e conscientização;
- Controls: consiste em um conjunto prescritivo, simplificado e priorizado de práticas recomendadas para fortalecer a postura de cibersegurança na proteção contra ameaças, cumprimento nas regulamentações do setor, saúde do ambiente, cultura segura e conformidade legal.
.
.
Independente do framework adotado é evidente que a realização de um assessment em cibersegurança não é apenas uma prática recomendada, mas uma necessidade urgente em organizações modernas. Este processo fornece uma visão holística do ambiente e suas vulnerabilidades, permitindo que as empresas desenvolvam uma estratégia de segurança da informação robusta e eficaz, capaz de proteger os ativos empresariais e garantir a continuidade dos negócios em um mundo cada vez mais digitalizado e interconectado.
Voltar para todos os artigos