“Não se deixe levar pelo compliance”

Para especialistas do Gartner, está na hora dos CSOs se atentarem ao modelo “check in box” e avançarem suas políticas de segurança; investir em estratégias de resposta a incidentes e ter profissionais de SI fazendo parte do estágio inicial dos projetos são essenciais para criar um modelo de proteção corporativa mais efetivo

Compartilhar:

Não se deixe levar pelo compliance. Foi com essa mensagem que Claudio Neiva, diretor de Pesquisas do Gartner, abriu a Conferência de Segurança e Gestão de Riscos do Instituto, que ocorre hoje (02) em São Paulo. A partir de um case fictício de uma empresa de seguros, Neiva explicou como o mundo digital está modificando os modelos de negócios, trazendo novas oportunidades e riscos consequentemente. Segundo o executivo, o modelo tradicional de segurança não supre a complexidade da digitalização, exigindo dos CSOs uma estratégia de SI que vá muito além do “check in box”.

O Gartner estima que, até 2020, cerca de 60% das empresas irão falhar por não conseguir administrar as brechas existentes em suas companhias. Por conta disso, os modelos de segurança não devem ser centralizados em prevenção, mas em resiliência e resposta a incidentes. “As organizações não são boas em detecção, pois levam em média 205 dias para mapear uma ameaça. Por essa e outras razões, devemos melhorar a forma como vamos responder ao evento, minimizando o impacto para a corporação”, explica.

Segundo Neiva, a maioria dos profissionais de segurança hoje aplica um pensamento baseado em ameaças, quando este deveria ser motivado pelos riscos. “O CSO deve identificar as estratégias para minimizar os riscos. Para isso, é importante discutir com a própria equipe, destacando os principais e validá-los. Devemos ser parte da solução, não do problema”, pontuou.

Para tratar deste tema é preciso estar junto ao Conselho corporativo, cabendo ao CSO elaborar um plano com linguagem adequada a ponto que o corpo diretivo consiga compreender corretamente os riscos, as opções e quais devem ser assumidos. “O importante é se mostrar ciente deles, mencionar as estratégias para lidar com cada um e seguir a orientação de quais serão admitidos pela companhia”, completa.

Cabe também ao CSO alcançar um lugar no desenvolvimento dos novos projetos. O conceito de Security by Design foi amplamente mencionado como fundamental para o aculturamento de uma companhia, mostrando que a segurança deve estar inserida já na concepção de um novo trabalho. “Se o profissional de SI é chamado posteriormente à produção inicial é sinal de que algo está errado e que o processo preciso ser revisto”, observa Neiva.

Ameaças internas

Em todo o mundo, é impressionante como as ameaças internas aumentam no âmbito corporativo. Segundo Avivah Litan, Vice-Presidente e Analista Emérito do Gartner, houve um crescimento de 70% no número de ocorrências no último ano. No entanto, embora a quantidade de casos seja cada vez mais crítica, as organizações insistem em não dar foco a esse problema.

A especialista disse que a dark web é a principal via de recrutamento dos chamados “insiders”. São eles quem ajudam cibercriminosos a facilitar a entrada de malware nas companhias, seja monitorando o comportamento dos alvos ou até mesmo encontrando um caminho para que este seja vítima de uma engenharia social. Os métodos de recrutamento vão desde os colaboradores que têm pouco privilégio na rede até aos que têm acesso a dados extremamente sensíveis.

Além das ameaças internas, os CEOs estão tendo que lidar com outros desafios diante da digitalização: a velocidade para se manter competitivo. Isso, consequentemente eleva a quantidade de riscos os quais as instituições ficam expostas. Para se ter uma ideia, 77% dos novos modelos de negócios estão trazendo novos tipos de ameaças. Em compensação, 65% das estratégias de gerenciamento de risco estão falhando.

“As tecnologias não conseguem proteger 100% dos ambientes, por isso a importância do gerenciamento de Risco. As empresas precisam escolher quais riscos irão assumir. O que diferencia um CEO bem-sucedido de um malsucedido é sua habilidade em admitir os riscos certos”, finaliza John Wheeler, diretor de Pesquisas do Gartner.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

IA depende de pilotos qualificados para ajudar a Segurança, avisam CISOs

Em painel de debates organizado pela FIA Business School, líderes de Segurança de diferentes vertentes de negócio apontaram para os...
Security Report | Destaques

FC Barcelona e Fortinet formam parceria de Cibersegurança para novo estádio

A fornecedora de Cibersegurança se tornou a nova parceira do futuro Spotify Camp Nou por três temporadas, até 30 de...
Security Report | Destaques

Data leak no Ministério da Saúde: O que ainda falta corrigir na fiscalização de dados?

Nova ocorrência contra os dados do CadSUS é mais uma dentre tantas que afetaram não só a Saúde, mas diversos...
Security Report | Destaques

Polícia Federal investiga suspeito de roubar dados do CadSUS

As autoridades cumpriram um mandado de busca e apreensão na residência do investigado em Nanuque, Minas Gerais. Segundo informou em...