E-book Gestão de Segurança Cibernética

Page 1

o gestor de segurança cibernética é o responsável por garantir que os sistemas, redes e dados da sua organização estejam protegidos contra ameaças cibernéticas. Ele deve mapear tecnologias utilizadas, pessoas e processos para identificar a situação atual da empresa, ameaças, vulnerabilidades, riscos e impactos de possíveis violações de segurança, a fim de modelar uma solução de segurança adequada para o contexto da organização.

Para estar apto a realizar essas tarefas, o profissional precisa possuir uma mentalidade de aprendizado contínuo, pois a área de segurança está em constante mudança, com novos métodos de ataque sendo frequentemente criados e novas vulnerabilidades sendo descobertas e exploradas diariamente. Além disso, regulamentações governamentais e mudanças nos processos de negócio podem afetar a segurança e os mecanismos utilizados para proteger os ativos, ou seja, os recursos organizacionais que necessitam de proteção (ISACA, 2012).

Também é importante ressaltar que não existe segurança total (ou seja, 100% de segurança). Cada empresa

define o nível necessário de segurança para os seus ativos com base no modelo de negócios e considerando tecnologias, processos e pessoas. Por exemplo, se o nível for demasiadamente alto, há chances de isso ter efeitos colaterais adversos, como a burocratização dos processos e a insatisfação dos clientes e/ou parceiros.

Em contraste, baixa segurança maximiza os riscos dos ativos da organização (SÊMOLA, 2013).

Como se caracteriza a Gestão de Segurança Cibernética?

De acordo com Tipton e Nozaki (2016), a abordagem baseada em processos para sistemas de gestão é derivada do trabalho de Edwards Deming e do mundo da Gestão da Qualidade Total (Total Quality ManagementTQM). Essa abordagem holística e baseada em processos para o setor industrial foi adotada após o aumento da qualidade de produtos japoneses na década de 1960. Esses conceitos de TQM têm sido aplicados em diversas áreas, inclusive na área de segurança.

A Gestão de Segurança Cibernética engloba o conjunto de políticas, práticas, processos e tecnologias utilizados

para proteger equipamentos, redes, sistemas (físicos e virtualizados), aplicações e informações de ameaças e ataques cibernéticos, intrusões, códigos maliciosos e, de modo geral, de qualquer ação maliciosa contra ativos da organização. Ela inclui (i) avaliação contínua de potenciais ameaças e vulnerabilidades conhecidas; (ii) desenvolvimento de políticas e implementação de mecanismos para garantir a proteção dos ativos; (iii) monitoramento contínuo para identificar rapidamente inci

dentes de segurança; (iv) desenvolvimento de planos de resposta a incidentes, com o objetivo de minimizar as consequências de um ataque; e (v) implementação de medidas para a recuperação de um incidente, proporcionando resiliência e continuidade dos negócios.

Vale ressaltar que a segurança tem ganhado atenção especial nas organizações devido aos ativos estarem cada vez mais expostos a ameaças, tanto internas (como de colaboradores insatisfeitos ou maliciosos) quanto externas (de atacantes buscando obter algum tipo de vantagem, como ganho financeiro). Exemplos usuais de ameaças incluem roubo de informação, fraude, sabotagem e espionagem.

Por isso, a gestão de segurança cibernética deve considerar os riscos existentes para os ativos da organização, a fim de desenvolver políticas e estratégias de gestão de riscos. Ademais, ela também deve considerar o monitoramento contínuo da infraestrutura da organização, com o objetivo de garantir que as medidas de segurança empregadas sejam eficazes.

A ISACA (2012) descreve quatro domínios amplos a serem considerados nessa área. Primei-

ramente, a governança de segurança da informação aborda os elementos e as ações necessários para desenvolver uma estratégia de segurança da informação e um plano de ação para implementá-la. Segundo, a gestão de riscos e conformidade considera o gerenciamento de riscos como uma ferramenta para atender às necessidades do negócio e desenvolver um programa de gerenciamento de segurança para apoiar essas necessidades, além de gerenciar o risco, para mantê-lo em um nível aceitável.

Terceiro, o desenvolvimento e gerenciamento de um programa de segurança da informação engloba os requisitos, planos e atividades necessários para criar, gerenciar e manter um programa para implementar uma estratégia robusta de segurança da informação. Quarto, a gestão de incidentes busca identificar, investigar, analisar e responder de maneira eficaz a eventos maliciosos ou inesperados que possam afetar negativamente os ativos da organização.

Por fim, além dos quatro domínios principais, também é indicado que o profissional possua habilidades relacionadas às seguintes áreas (ISACA, 2012):

• Segurança de TI: habilidades de natureza técnica (incluindo segurança ofensiva).

• Regulamentações, padrões e frameworks, que incluem legislações nacional (como a LGPD) e internacional (como a GDPR), ISO/IEC 27001/27002, NIST, PCI DSS e COBIT.

• Habilidades de comunicação, para discutir recomendações de programas de segurança com colaboradores, inclusive de outras áreas.

• Habilidades de negociação, para convencer a alta cúpula a investir na área e implementar recomendações de segurança.

• Redação, para produzir relatórios compreensíveis tanto para profissionais da área técnica quanto para pessoas não técnicas.

• Capacidade de compreender e gerenciar o comportamento humano e a cultura organizacional, para maximizar o sucesso do programa de segurança da informação.

• Gestão de projetos, para um gerenciamento eficiente de tempo e tarefas.

• Formação e liderança de equipes, para extrair o máximo de cada membro da equipe.

Quais são os benefícios de uma gestão de segurança cibernética robusta?

As organizações podem se beneficiar de uma gestão de segurança bem feita obtendo as seguintes vantagens principais (HYSENI, 2023)(CYBER COPS, 2023):

• Proteção de ativos da organização contra acessos não autorizados, ataques cibernéticos e roubo.

• Resiliência e continuidade do negócio, o que significa que as empresas podem se recuperar rapidamente de incidentes, reduzindo (ou eliminando) o tempo de inatividade e perdas financeiras.

• Construção e manutenção de relações de confiança, já que clientes e stakeholders tendem a confiar em organizações que levam a segurança cibernética a sério e que possuem um programa de segurança robusto.

• Conformidade com as regulamentações (tanto nacionais quanto internacionais, dependendo da atuação da empresa), já que as organizações devem garantir que cumprem os padrões legais de segurança e privacidade de dados, evitando possíveis multas e penalidades.

• Redução de riscos, visto que, ao identificar e avaliar os riscos, a gestão da segurança cibernética possibilita à organização priorizar e investir nos pontos mais críticos, reduzindo potenciais de perdas financeiras devido a incidentes cibernéticos.

• Redução de custos no longo prazo, uma vez que, apesar de ter um custo inicial com segurança cibernética, o investimento permite minimizar custos e prejuízos decorrentes de incidentes de segurança (como, por exemplo, com a recuperação de sistemas e com possíveis processos legais) no longo prazo.

Quais são as boas práticas recomendadas para um gestor de segurança cibernética?

A gestão de segurança cibernética é essencial para o bom andamento das atividades e processos de uma organização. Por isso, um conjunto não exaustivo de boas práticas para o profissional é listado a seguir (FORTINET, 2024).

Entender o ambiente de TI da organização e os seus ativos. O gerenciamento eficaz e eficiente da segurança cibernética requer um conhecimento aprofundado da infraestrutura e dos ativos da organização.

Incorporar a segurança na cultura da empresa. É imperativo que todas as partes envolvidas tenham consciência da necessidade de segurança, e entendam e aceitem os

mecanismos implementados (aceitabilidade psicológica).

Por isso, deve-se transmitir as ideias, planos e procedimentos de forma clara para todas as partes envolvidas.

Implementar uma estratégia robusta de gestão de riscos. O gerenciamento de riscos deve ser realizado com o desenvolvimento de uma estratégia sólida de gestão de riscos, além de manter tal estratégia sempre atualizada (para garantir que ela permaneça eficaz contra novas ameaças).

Utilizar avaliações de risco contínuas e adaptativas.

Os riscos estão sempre mudando (por exemplo, por causa da alteração de um ou mais processos ou da adição de novas tecnologias). Por isso, as avaliações dos riscos existentes devem ser realizadas frequentemente e ser adaptadas aos processos e tecnologias da organização. Ademais, as avaliações de riscos são importantes para fornecer informações sobre ameaças e vulnerabilidades existentes.

Implementar políticas bem definidas de segurança

É preciso ter políticas bem definidas para considerar todos os cenários relevantes dentro da organização,

como, por exemplo, para colaboradores utilizarem seus dispositivos pessoais ( Bring Your Own DeviceBYOD), para colaboradores remotos acessarem recursos da rede interna, para autenticação e autorização de colaboradores e para a realização de backups de sistemas e dados.

Treinar e conscientizar frequentemente os colaboradores. A realização de treinamentos e workshops de

conscientização de segurança cibernética é essencial para evitar que os profissionais da organização sejam enganados com o uso de técnicas de engenharia social (como phishing).

nDANIEL STEFANI MARCON

Professor

Escola

Politécnica - Unisinos

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.
E-book Gestão de Segurança Cibernética by Agexcom - Issuu