O site Networkworld publicou o artigo How CIOs can prepare to combat cyber attacks (Como CIOs podem se preparar para combater ataques cibernéticos), texto escrito em colaboração por Rich Turitz e Steve Bates, da KPMG, especialmente voltado para profissionais da segurança de TI (Tecnologia da Informação).
Nele, os autores dão dicas preciosas para se obter sucesso no delicado processo de garantir a segurança dos dados das empresas diante dos ataques cada vez mais sofisticados e contundentes por parte dos cibercriminosos.
O material a seguir é de extrema valia para CIOs (Chief Information Officers) e CISOs (Chief Information Security Officers), gerentes/diretores de TI que fazem o link entre a alta direção de suas empresas e os colaboradores do departamento de informática.
Boa leitura!
Como CIOs podem se preparar para combater ataques cibernéticos
Se você é como a maioria dos CIOs, provavelmente deve ter uma sensação de incerteza e despreparo quando se trata de lidar com ataques cibernéticos. Verdade seja dita: você tem bons motivo para se sentir desse jeito.
“Os cibercriminosos estão mais organizados e sofisticados do que nunca”, afirmou Steve Bates, diretor da divisão de consultoria de CIO da KPMG. “Eles estão usando melhores ferramentas e têm maior acesso ao financiamento – seja de empresas concorrentes, nações mal intencionadas ou grupos ativistas. Esses criminosos cibernéticos têm o comprometimento e os meios para violar e causar danos significativos a quase todas as empresas”.
Apesar do risco cibernético e a segurança da TI (Tecnologia da Informação) terem se tornado preocupações crescentes para os negócios de todos os tipos de indústrias, esta preocupação não foi traduzida em ação efetiva. De acordo com a pesquisa Harvey Nash / KPMG CIO 2017, apenas 21% dos líderes de TI relataram que se sentem “muito bem” posicionados para identificar e lidar com um ataque cibernético em curso ou em um futuro próximo – isso foi 4% menos que o ano anterior e 28% menos que os últimos quatro anos.
Enquanto ataques a grandes corporações têm sido largamente divulgados, a exemplo de Petya, WannaCry e Cloudbleed, aconteceram muitas outras violações cibernéticas, mas que não obtiveram tanta exposição pública. De acordo com esta pesquisa, quase um terço dos entrevistados informou que tiveram um grande incidente de segurança cibernética nos últimos 24 meses; para grandes empresas, os riscos foram ainda maiores, com mais de metade relatando que sofreram ataques recentes.
Tais ataques cibernéticos vêm com um preço elevado. Em média, cada violação custa a uma empresa quase US$ 4 milhões. E isso não inclui o aumento dos custos de seguros, danos à reputação e ao relacionamento com o cliente e a potencial perda de propriedade intelectual (PI).
Barreiras para o sucesso da segurança de TI
As companhias estão bem conscientes de que precisam assumir o controle e mudar a forma como estão operando para combater as ameaças à segurança cibernética. Mas, em geral, seus esforços não têm sido muito eficazes na implantação de mecanismos avançados de detecção de ameaças e programas adequados de gerenciamento de riscos. Aqui estão alguns dos principais motivos pelos quais as empresas estão se deparando com ineficiências e permanecendo em um estado vulnerável:
Conselho/administração não compreende completamente os problemas:
Muitas vezes, CIOs e CISOs não ocupam cadeiras no nível do conselho e não estão envolvidos nas conversas principais. Como resultado, mesmo que a alta cúpula saiba bem que há um problema, ela não está totalmente informada pelas pessoas com experiência na área sobre o que a empresa precisa fazer. Assim, eles têm dificuldade em determinar o quanto gastar em proteção cibernética ou onde alocar recursos.
Os departamentos operam em silos e não se comunicam:
“A ameaça cibernética é uma questão estratégica de risco corporativo, não apenas um problema de segurança de TI”, explicou Bates. “Isso pode afetar potencialmente os departamentos jurídico, operações, marketing, fornecedores terceirizados e assim por diante. E o ataque pode ser proveniente de qualquer um dos sistemas desses departamentos ou pessoal”.
Na maioria das companhias, no entanto, essas diferentes funções geralmente operam em silos e não se comunicam entre si, o que complica o desenvolvimento e a implementação de um programa de segurança cibernética efetivo e integrado em toda a empresa.
Falta de pessoal experiente e devidamente treinado:
Devido à crescente importância da tecnologia em todos os negócios e ao aumento da gravidade das ameaças cibernéticas, o pessoal de TI, particularmente o pessoal de segurança de TI, é cada vez mais difícil de encontrar ou de reter no quadro de colaboradores.
Embora um número cada vez maior de indivíduos esteja entrando no campo, nem todos possuem o conhecimento para projetar e implementar programas apropriados de segurança cibernética. Como resultado, há uma concorrência intensa em busca de trabalhadores qualificados, e a maioria dos CIOs e CISOs estão ocupados, devido às suas experiências em segurança de TI e gerenciamento de riscos.
Acompanhar os dados:
Com o aumento da tecnologia, aumentam as quantidades de dados, de todos os lugares: de departamentos internos, fornecedores terceirizados, agências reguladoras nacionais e internacionais e fontes da indústria.
“A maioria dos CIOs não conseguiu articular facilmente a localização, a disposição e a interconectividade dos dados da empresa”, observou Bates. “Determinar como rastrear todas essas informações, como classificá-las, mantê-las, gerenciá-las e, mais importante, protegê-las, é um problema terrivelmente complexo”.
>>> Confira o que fazer para fugir da pirataria virtual
Prevenção de risco cibernético em ação
Recentemente, a KPMG ajudou um de seus clientes a conter futuros ataques cibernéticos através da revisão de seus processos, procedimentos e operações de gerenciamento de risco. “Esta empresa multimídia global enfrentava ameaças de segurança cibernética de dentro e fora da organização. Como uma empresa bem conhecida e altamente visível, eles foram hackeados com frequência por vários atacantes em todo o mundo”, observou Bates. “Além disso, eles conduziram negócios com milhares de terceiros, expondo-os a potenciais ataques cibernéticos através dos seus sistemas de fornecedores e pessoal”.
“Depois de analisar minuciosamente as operações e os procedimentos da empresa, suas funções de segurança e a forma como operou, descobrimos que seu quadro de gestão de riscos não estava intimamente ligado à estrutura de gestão de risco empresarial. Além disso, os departamentos de TI, segurança de TI, RH, jurídico e operações atuavam isoladamente, em silos”, declarou Bates.
A KPMG ajudou a empresa a desenvolver um programa integrado de gerenciamento de riscos de informação que provesse políticas, processos e controles para governar dados e incorporou funções de segurança de TI nos vários departamentos anteriormente isolados. “Com esta nova configuração, quando ocorre um incidente, ele irá desencadear processos que levem à diminuição da ameaça”, continuou Bates. “Por exemplo, pessoas específicas são notificadas e medidas são providenciadas para enfrentar a ameaça e aliviá-la”.
Etapas para prevenir ou amenizar as ameaças à segurança de TI
Existem várias etapas que os CIOs podem adotar para ajudar suas empresas a impedir que criminosos cibernéticos penetrem seus sistemas de TI ou para minimizar o dano quando ocorre uma violação. Embora este processo possa ser complexo, é essencial se você quer proporcionar à sua empresa alguma chance na luta contra ataques de segurança cibernética.
1-Assuma uma cadeira nas reuniões do conselho:
Como CIO, você precisa convencer o conselho e a alta administração de que o crime cibernético é uma questão estratégica de risco corporativo. Discutir o crime cibernético em termos de impacto sobre o negócio, incluindo perda de receita, multas e danos à reputação e aos relacionamentos com clientes. Ao pedir financiamento, apresente as opções para o conselho no idioma mais não-técnico possível e priorize o cenário da ameaça, usando exposições ou painéis para ilustrar seus pontos.
2-Derrube os silos:
Para ser eficaz, um plano corporativo de segurança cibernética precisa da adesão e da cooperação das principais partes interessadas nos departamentos da organização. Ao projetar e implementar o plano, você precisa obter as pessoas certas na mesa para garantir que as necessidades e vulnerabilidades de todas as partes sejam consideradas.
Pode não ser possível prevenir todos os ataques cibernéticos. No entanto, adotar uma abordagem colaborativa e derrubar os silos pode ajudar a priorizar onde as maiores ameaças são prováveis e, portanto, quando e onde os recursos podem precisar ser implantados.
3-Considere a terceirização para combater problemas de pessoal:
Conforme observado anteriormente, está ficando mais difícil – e caro – contratar e reter os melhores profissionais de segurança cibernética. Isso é fato, se estamos falando do nível de gerenciamento ou execução/operacional.
A pesquisa CIO Harvey Nash / KPMG 2017 descobriu que cerca de metade dos CIOs está planejando aumentar a quantidade de trabalho terceirizado de TI e de segurança de TI. Desta forma, um terceirizado pode fornecer a experiência e tecnologia inovadora para resolver esses problemas de TI, pelo menos até que possa ser criada sua própria equipe. Isso também pode permitir que eles liberem seus próprios recursos, obtenham acesso a novas habilidades e economizem algum dinheiro.
4-Use a tecnologia para gerenciar e proteger os dados:
Não há como evitar: você vai precisar de poderosos programas de dados e análises (D & A) para manter a sua plataforma de gerenciamento de dados atualizada. Isso é especialmente verdadeiro para grandes e complexas empresas globais, com centenas – ou talvez milhares – de fornecedores terceirizados.
Riscos envolvendo terceiros são uma das mais importantes áreas emergentes de preocupação para muitas empresas. A grande quantidade de dados, sistemas, acessos às instalações e serviços anexados a terceiros muitas vezes carecem de transparência e classificação consistente.
5-Trate a segurança cibernética como um risco corporativo
Este processo deve, em parte, abranger a ligação da segurança cibernética com a sua estrutura ERM (Enterprise Risk Management – gerência de riscos corporativos). Isso permitirá que você realize uma avaliação de risco de segurança de TI que ajude a detectar e a quantificar seus maiores riscos, ao mesmo tempo em que fornece transparência para a alta administração, o comitê de auditoria e as funções de governança e conformidade.
O próximo passo seria vincular os riscos de maior prioridade com suas políticas e controles e, em seguida, mapear seus processos, pessoas e tecnologia que estão relacionados a esses riscos específicos.
Além disso, a função de TI precisa ser integrada no processo operacional para garantir que os incidentes, problemas, preocupações e eventos sejam devidamente gerenciados em todo o ecossistema interno e de fornecedores.
Muitas vezes, a TI usa um idioma e um processo diferentes para gerenciar questões operacionais do dia a dia do que a taxonomia e a estrutura utilizadas pela função de risco corporativo. Finalmente, esse processo precisa ser periodicamente revisado e atualizado para dar conta do ambiente de risco cibernético, que está em constante mudança.
>>> Saiba como se proteger do roubo de dados em videoconferência
Como os CIOs podem se manter à frente?
Os CIOs e suas empresas precisam atualizar e reforçar seus programas de segurança cibernética. Isso vai demandar um investimento significativo de recursos para se manter no mesmo ritmo dos cada vez mais sofisticados cibercriminosos, que procuram acessar dados confidenciais, obter dinheiro ou simplesmente interromper as operações da empresa. “No entanto, com as pessoas e os processos certos em seus devidos lugares, é possível ficar à frente dos ataques cibernéticos e amenizar a potencial perda de informações e receitas”, concluiu Bates.