CISOs e suas principais preocupações
Todas as notícias diárias de ciberataques e roubo de dados só reforçam que os tempos não estão fáceis para as equipes de segurança da informação, principalmente os CISOs.
E cada vez mais ter uma noite de sono tranquilo é mais difícil.
Observando o dia-a-dia vejo pelo menos três razões claras para noites em claro, e todas elas se concentram em torno de uma causa, o RISCO.
Resumidamente, entedo que as principais razões podem estar relacionada aos seguintes motivos:
1. Prestação de contas aos executivos
Ser 100% responsável por cumprir as expectativas de investimentos para melhoria da segurança é um claro motivo.
Embora a segurança cibernética seja agora uma conversa em nível de diretoria, muitos CEOs ainda não entendem bem, ou seja, alguns relatórios e pesquisas confirmam que mais de 90% dos executivos dizem que não conseguem ler um relatório de segurança cibernética e não estão preparados para lidar com ataque.
Realmente, esse não é o principal trabalho do C-level. O que eles precisam e desejam é que o CISO posicione o risco de forma eficaz e os ajude a entender a equação do estado atual X tecnologia e resultado. Esse é um grande desafio por si só, porque o CISO deve se perguntar constantemente: “Estou investindo na tecnologia certa? Tenho poder de resiliência? Posso escalonar? Meu ambiente é verdadeiramente saudável? Como eu vou realmente saber?”
Ser capaz de comunicar efetivamente o estado atual e o que é “bom” é imperativo para um CISO, além de desenvolver um plano de ação com objetivos e alvos para apresentar ao seu conselho.
2. Capacidade
Tenho as habilidades certas e as pessoas certas para fazer as coisas certas?
A crise de cibersegurança está piorando. Identificar os conjuntos de habilidades certas é a parte fácil. Encontrar pessoas experientes é uma história totalmente diferente.
Para muitas empresas, a escassez de consultores de segurança cibernética é o maior fator de risco. Em resposta, os MSSPs (provedores de serviços de segurança gerenciados) tornaram-se uma escolha popular. Mas encontrar e verificar o MSSP certo é um desafio completamente novo para os CISOs e suas equipes.
O risco se apresenta de várias maneiras aqui:
– Você avaliou todos os terceiros e contratados que apoiam o seu ambiente? Eles realmente apoiam sua operação de forma customizada e dedicada?
– Você é altamente dependente de um ou de um pequeno subconjunto de indivíduos para executar uma parte de sua demanda de tecnologia?
– Você tem processos e procedimentos documentados para seguir no caso de virada?
– Qual é o seu plano de treinamento para garantir que sua equipe acompanhe as tendências de segurança dentro de sua demanda de tecnologia?
– Não há uma resposta fácil para recrutar e reter as pessoas certas em cibersegurança – já disse isso antes e digo novamente – não há desemprego em nossa área. O importante é combinar a equipe que você possui (interna e externamente) com o plano de ação de segurança definido. Que habilidades você precisa? De onde elas estão vindo? Quem está fornecendo a direção? E como meu plano de ação foi avaliado e reavaliado?
3. Compliance & Privacy Regulation
Sim, pode ser que o temido GDPR já seja uma realidade em terras brasileiras.
Aqui no Brasil foi aprovada a Lei Geral de Proteção de Dados (LGPD) – falta apenas a sanção do Presidente. Agora como o que ocorre na UE, os titulares de dados e empresas terão maior segurança jurídica. A Lei exigirá, por parte de todas as empresas, uma série de adequações, sob pena de sanções severas, que podem chegar a multas de até 50 milhões de Reais. Sua empresa precisa se adequar aos controles exigidos!
A conformidade será o maior impulsionador da segurança nos próximos anos. Acredito firmemente que a conformidade impulsiona mais de 50% do mercado hoje.
O Regulamento Geral de Proteção de Dados (GDPR) ou como está sendo chamado no Brasil LGPD, que se aplica a qualquer pessoa, literalmente qualquer empresa no mundo, que recebe dados. O que é assustador sobre o GDPR é o risco financeiro associado à não conformidade.
O GDPR é um dos vários mandatos de conformidade que as organizações globalmente estão enfrentando. Há também DFARS, NYCRR 500, FISMA, GLBA, SOX e outros.
O desafio aqui é que é fácil pensar “isso nunca vai acontecer comigo”. Isso é o que todos nós costumávamos pensar sobre incidentes de segurança cibernética, certo?
Dada a dor financeira da não conformidade, os CISOs não podem arcar com o risco. Como CISO, você precisa se cercar de informações corretas. Se você ainda não fez isso, envolva três tipos de especialistas para apoiar sua prontidão de conformidade:
– Um provedor de serviços de segurança cibernética para fornecer recomendações e táticas de mitigação de riscos;
– Um provedor de serviços de segurança gerenciado para suporte com monitoramento e gerenciamento 24×7 de tecnologias de segurança;
– Assessoria jurídica para revisar o atendimento da sua organização à regulamentos e leis.
*Umberto Rosti é CEO da Safeway
Sobre a [SAFEWAY]
A [SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:
- Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;
- [SAFEWAY]Security Tower, suportada pelo IBM Qradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.
- E outras, envolvendo tecnologias Imperva, Thales, BeyondTrust, WatchGuard Technologies.
