Não é irônico? A conscientização sobre a cibersegurança é necessária todos os meses

by Rob Treacey, Senior Director Professional Services & Head of EMEA Security Practice, Rackspace Technology

Rackspace-Blog-Image-Isnt-It-Ironic-Cybersecurity

No mês passado, eu ouvi no rádio o clássico da Alanis Morrisette, "Ironic". Foi aí que eu percebi: só porque outubro, o mês da conscientização sobre segurança cibernética, acabou, não quer dizer que devemos relaxar porque estamos em novembro.

A cada hora e a cada dia, 12 meses por ano, cada um de nós deve tomar medidas para garantir que nossas vidas on-line estejam seguras.

A segurança cibernética tem um significado diferente para cada organização, por isso, é essencial definir como as ameaças de cibersegurança impactam a sua. Pense em como a sua organização vai evoluir no futuro e nos novos riscos de segurança que serão introduzidos, especificamente por meio de:

  • Introdução de novos produtos e serviços
  • Operação em novas localidades
  • Migração de um ambiente local para um ambiente de nuvem
  • Transição para um ambiente sem papel e
  • Terceirização de serviços

 

Sete ironias da cibersegurança

1. A conscientização sobre a cibersegurança não termina em outubro. Conforme os hackers continuam a explorar as organizações 24x7x365, sua empresa deve tornar o treinamento e a conscientização sobre cibersegurança contínuos, em vez de uma atividade anual. Quando os funcionários recebem treinamento anual sobre segurança da informação porque a organização os obriga, sabemos que a maioria das pessoas só quer concluir o treinamento para não ficar com um ponto negativo no relatório de monitoramento de conclusão.

Torne a segurança o "modus operandi" da sua organização, em que todos os funcionários entendam o papel deles na proteção dos ativos de informação e façam a coisa certa.

 

2. Clicar no link. Todos os dias nos dizem para não clicar em links suspeitos. Aí, durante o mês da conscientização sobre segurança cibernética, nos dizem para clicar nos links dos artigos sobre verificação de segurança de links suspeitos! (Para saber mais sobre a Ironia Número Dois, clique neste link. Agora que eu chamei a sua atenção...)

 

3. Quando uma organização afirma que a cibersegurança é a principal prioridade e depois revela que seu orçamento anual é de US$ 100. É claro que eu estou exagerando, mas você entende onde eu quero chegar. A segurança cibernética era crucial antes da Covid-19, e provavelmente é mais ainda hoje em dia. Uma pesquisa da Deloitte de 2020 descobriu que os gastos estão aumentando, mas será que são proporcionais à necessidade? Embora diversos artigos na internet digam que as organizações devem gastar aproximadamente entre 15 e 20% do seu orçamento anual em segurança, o gasto médio está na faixa de 7 a 10%.

A conclusão aqui é que cada empresa é diferente. Seu gasto com segurança deve ser proporcional aos ativos que você está protegendo. Você pode ser uma organização pequena que processa um volume significativo de dados pessoais ou de categoria especial, ou uma grande corporação que processa um volume relativamente pequeno de dados pessoais. O objetivo é se esforçar para ser proporcional à exposição ao risco. Se uma violação puder resultar em danos irreparáveis à reputação, perda significativa de clientes ou não conformidade regulatória, você provavelmente precisará de um orçamento de segurança saudável. 

 

4. Quando o número de ataques cibernéticos continua a aumentar, e mesmo assim o diretor de segurança da informação (CISO) não tem um lugar junto à liderança executiva. De acordo com uma pesquisa da Deloitte de 2020 com grandes instituições financeiras, os CISOs normalmente estão subordinados ao CIO ou ao CTO da sua organização. Não só os CISOs são colocados para baixo dentro da organização, e não têm um lugar na liderança, mas ainda são incorretamente categorizados como TI.

A Segurança da Informação, com a cibersegurança como um subconjunto, evoluiu da simples gestão de controles de TI. Agora ela é uma função comercial completa, e os proprietários dos dados residem dentro da empresa. Portanto, um CISO deve ser um influenciador, um pensador estratégico que possui a habilidade de manter contato com diversos stakeholders, como RH, risco e compliance, líderes de negócios, marketing, fornecedores externos e gestão executiva, para garantir que os ativos de dados permaneçam protegidos e que as ameaças existentes, novas ou emergentes sejam gerenciadas de forma apropriada.

O papel do CISO dentro da equipe de segurança mais ampla é de educar todo o pessoal. Um CISO deve ser a "cola" que comunica os requisitos de segurança para todos em termos compreensíveis para os leigos.

 

5. Quando o conselho de uma organização, incluindo seus conselheiros não executivos, declara um foco maior na cibersegurança mas usa endereços de e-mail pessoais para conduzir os negócios. Eu já vi isso muitas vezes — o envio e recebimento de documentos comerciais confidenciais, incluindo atas de reuniões do conselho, usando contas pessoais no Hotmail e no Google. Dê a essas figuras importantes uma conta de e-mail corporativo e faça com que a usem. A segurança começa de cima para baixo, e ninguém deve estar isento de cumprir as políticas e os procedimentos de segurança da organização.

 

6. Quando alguém pergunta: "Você pode fornecer uma solução que impeça todos os ataques cibernéticos?" Só se você puder se desconectar da internet. Falando sério, quando um cliente pergunta se ele está totalmente protegido contra ataques cibernéticos, a resposta é: "se houvesse um produto que protegesse as pessoas contra todos os ataques, todos iriam comprá-lo, e os hackers iriam tentar contorná-lo".

A segurança cibernética é uma abordagem multifacetada e multicamadas que muda constantemente. As empresas devem estar sempre vigilantes. Embora não exista uma solução mágica, sua organização pode se ajudar:

  • Sendo proativa
  • Incorporando a segurança em tudo que fizer, e não apenas como uma consideração posterior
  • Educando os funcionários e focando em pessoas, processos e tecnologia  

 

7. Quando o foco principal de uma organização está em proteger-se de ataques cibernéticos, ela ainda opera em um ambiente predominantemente baseado em papel.  Por exemplo, uma vez eu trabalhei com uma organização na qual o foco executivo era a segurança cibernética, mas a organização armazenava quantidades enormes de registros em papel em um porão compartilhado, ao lado de uma sala cheia de botijões de gás, em armários destrancados, sendo que a maior parte dos registros mestres ficava no chão. Então não se trata apenas de dados eletrônicos. Você também deve proteger seus documentos físicos!

 

"Não é irônico", nas palavras inimitáveis de Alanis, que a cibersegurança, tanto o mês quanto o tema, esteja cheia de paradoxos?

Deixe-nos ajudar você a navegar por sua jornada de segurança para que possa manter sua empresa avançando com confiança