5 perguntas que os executivos devem fazer para suas equipes de segurança

Transcrição

1 1 5 perguntas que os executivos devem fazer para suas equipes de segurança

2 2 Foto/gráfico Violações de dados são muito mais do que um problema de segurança. Um ataque significativo pode abalar sua base de clientes, as relações com os parceiros, a equipe executiva, os lucros e as receitas. A história mostra que as violações de dados já custaram o emprego de muitos executivos, resultaram em enormes perdas de receita e prejudicaram a reputação de várias marcas. Em um estudo de 2014 com 700 clientes sobre a reputação da marca realizado pela Experian e pelo Ponemon Institute, as violações de dados foram reportadas como a ocorrência mais prejudicial à reputação de uma marca, à frente de desastres naturais e mau atendimento ao cliente. 1 Em um contexto em que violações de dados viraram lugar comum, quais etapas podem ser realizadas para minimizar os danos? Em 2015 tivemos 781 violações reportadas, o mesmo nível de 2014, quando tivemos 783 violações reportadas. 2 1 Experian: Consequências de uma grande violação de dados 2 Relatório de violação de dados do ID Theft Center em 2015

3 3 O custo total médio consolidado de uma violação de dados em 2015 foi de US$ 3,8 milhões, um aumento de 23% desde Estudo do custo da violação de dados da IBM em 2015

4 Introdução 5 perguntas que os executivos devem fazer para suas equipes de segurança 4 Foto Violações de segurança afetam toda a sua organização, e isso significa que a liderança deve unir forças com a diretoria de segurança na luta pela segurança da empresa. Embora os diretores de segurança, diretores de segurança da informação e analistas de segurança estejam nas linhas de frente combatendo invasores, eles não devem ser considerados a última e única linha de defesa. Os diretores financeiros, normalmente responsáveis por gerenciar os riscos financeiros de uma corporação, devem estar sempre questionando o risco da segurança cibernética na empresa. E embora outras funções executivas não tenham a competência de cuidar de medidas de segurança, elas podem tomar atitudes para ajudar a aprimorar a segurança geral na organização. Os diretores de tecnologia podem aconselhar diretores de segurança e diretores de segurança da informação sobre o software de segurança implementado em suas organizações, mas também devem se concentrar nos recursos de segurança de cada tecnologia implementada. Os diretores administrativos e os executivos de marketing responsáveis pelareputação pública de suas empresas devem estaratentos aos riscos de reputação que podem resultar de uma violação através do desenvolvimento de um plano de relações públicas, se houver um ataque, para proteger as receitas de vendas. Os recursos humanos e a gerência de talentos devem estar cientes de como a violação dos dados de informações internas pode comprometer a confiança do funcionário, concentrando-se na proteção das informações confidenciais que eles gerenciam. Os diretores executivos e os membros da diretoria devem reconhecer as implicações que as falhas na segurança cibernética podem ter na avaliação das suas empresas e priorizar a segurança no planejamento estratégico da empresa. Quando se trata de proteger os ativos mais importantes da organização, que perguntas toda a liderança deve fazer para suas equipes de segurança?

5 5 PERGUNTA 1 Com que frequência você vê serviços de nuvem não autorizados serem utilizados? Dropbox. Google Drive. MediaFire. Egnyte. Sua organização pode não dar suporte a eles, mas há a possibilidade de a sua equipe de segurança ter visto uma ou mais dessas nuvens privadas em uso dentro de uma organização. As chamadas "nuvens invasoras" (opções de sincronização e compartilhamento de arquivos privados sem suporte ou proteção da infraestrutura de TI de uma empresa) estão se infiltrando cada vez mais nas organizações. Uma pesquisa de 2013 realizada pela Symantec demonstrou que 77% de todas as empresas passaram por situações de nuvens invasoras.³ Para eliminar esse problema, as equipes de segurança devem conversar com seus diretores de tecnologia sobre qual serviço de nuvem aprovado pela empresa é o recomendado. A partir desse ponto, outros membros de liderança podem ponderar sobre quais soluções serão mais úteis para os funcionários e parceiros comerciais. Fale com as equipes de segurança sobre como implementar soluções de nuvens que têm suporte da organização. Soluções de nível empresarial, como o Microsoft OneDrive for Business, permitem que os funcionários salvem, compartilhem e colaborem em documentos sem comprometer a segurança dos dados. 40% 40% das empresas que passaram por situações de nuvens invasoras tiveram dados expostos. 3 3 Estudo da Symantec: Evitando os custos ocultos da nuvem

6 6 " O fato de o Office 365 ter o suporte da Microsoft é fundamental. Nunca mais precisarei mudar de provedor porque tenho a confiança de que a Microsoft está cuidando dos nossos s e de outros serviços para nós." Paraic Nolan Diretor financeiro Big Red Book

7 7 monitoramento de comportamento de segurança para identificar casos em que funcionários acessam arquivos com os quais não têm relação, arquivos ou informações são salvos em um local externo ou um funcionário faz logon em horários incomuns. PERGUNTA 2 Estamos nos protegendo contra ameaças internas? As ameaças internas são normalmente consideradas as mais difíceis de combater. Com o crescente uso de contratados, freelancers e funcionários temporários em toda a empresa, defender-se de ameaças internas potenciais parece praticamente impossível. Em 2013, o FBI estimou que ataques de ameaça interna mal-intencionados custam aproximadamente US$ 412 mil por incidente.⁴ Felizmente, se surgir a suspeita de ameaça interna, as soluções como a Prevenção contra Perda de Dados da Microsoft (DLP) integrada ao OneDrive for Business, ao SharePoint Online, ao Exchange e ao Office 2016 permitirão que os administradores de TI protejam-se contra perda de dados sem exceder os orçamentos de conformidade. Os administradores receberão notificações se informações confidenciais forem trocadas e terão a oportunidade de retirar os dados e o acesso de determinados funcionários. Além disso, com o DLP, os administradores podem revisar dados de incidente e gerar relatórios de incidente para verem exatamente onde a informação pode ter vazado. Embora não haja uma solução única para defender-se de ameaças internas, os especialistas recomendam uma abordagem com várias vertentes que envolvem a participação de vários membros da liderança. A aquisição de talentos deve se concentrar em verificações de antecedentes de todos os funcionários e contratados, e as relações humanas podem ajudar a detectar avisos de alerta decorrentes do comportamento irregular de um funcionário (por exemplo, trabalho perdido ou conversas inadequadas sobre prejuízos potenciais que ele poderia causar).⁵ Os diretores financeiros e os diretores de tecnologia podem discutir a probabilidade de implementar ferramentas de Foto/gráfico de diferentes funcionários/ contratados em um ambiente de escritório 4 Fred Donovan, FierceITSecurity: A pessoa que está sentada ao seu lado é um informante mal-intencionado? 5 George Silowash, Software Engineering Institute: Guia de senso comum para mitigar ameaças internas: 4a edição

8 8 Você não precisa se defender apenas de vírus e malware: 19% dos incidentes de segurança envolvem invasores internos mal-intencionados. Fred Donovan, FierceITSecurity: A pessoa que está sentada ao seu lado é um informante mal-intencionado?

9 9 PERGUNTA 3 Já implementamos uma forçatarefa de segurança cibernética? Os profissionais de segurança cibernética são treinados a pensar quando (não se) uma ameaça ocorrerá. Preparar-se para uma violação envolve criar uma força-tarefa em toda a organização que determine quem estará envolvido em divulgar o ataque aos clientes (diretor de marketing), quem será o responsável por proteger a rede (diretor de segurança da informação, diretor de segurança e diretor de tecnologia) e quem lidará com as consequências jurídicas das informações vazadas (líderes dos departamentos jurídico, de cliente e de recursos humanos). Embora criar uma forçatarefa de segurança cibernética dentro de uma organização seja considerada a prática recomendada, a maioria das organizações ainda não fez isso. De acordo com uma pesquisa de segurança da informação realizada pela Microsoft, 63% dos executivos financeiros de empresas de nível corporativo acreditam que estão "apenas acompanhando as ameaças de segurança", 28% acreditam que estão à frente dessas ameaças e 9% sentem que ficaram para trás. 6 Quem deveria ser envolvido? Uma grande parte da força-tarefa incluirá analistas de segurança e o departamento de TI. Mas não menospreze a importância do apoio jurídico, financeiro, do investidor e das relações públicas. Qualquer um que puder colaborar para minimizar uma invasão deve ser incluído em uma forçatarefa de segurança cibernética e estar pronto para entrar em ação. 6 Pesquisa de segurança da informação da Microsoft, setembro a outubro de 2015 Foto

10 10 84% das organizações não implementaram uma força-tarefa de segurança cibernética. Financial Executives Research Foundation: O papel do diretor financeiro na segurança cibernética

11 11 PERGUNTA 4 Sua política de BYOD é segura? Políticas de trazer seu próprio dispositivo (BYOD) explodiram nos últimos cinco anos, permitindo que os funcionários acessem os arquivos da empresa em seus próprios dispositivos o tempo todo, mesmo fora do horário de trabalho. De acordo com um relatório de 2014 divulgado pela Check Point, no entanto, mais da metade dos executivos de TI reportaram que incidentes de segurança envolvendo BYOD custaram às organizações mais de US$ 250 mil em um período de dois anos. 7 É possível continuar a dar apoio a políticas de BYOD sem comprometer a segurança ou estourar o orçamento. Questione as equipes de segurança sobre as ofertas atuais de recursos de logon único e gerenciamento de senhas de autoatendimento. Ferramentas de mobilidade como o Microsoft Enterprise Mobility Suite podem manter os funcionários conectados aos aplicativos necessários sem comprometer a segurança. Em um relatório sobre o impacto econômico do Microsoft Office 365 divulgado pela Forrester, 28% dos usuários empresariais disseram ter percebido uma melhoria na segurança dos dados móveis devido à capacidade do Enterprise Mobility Suite de eliminar dados remotamente de dispositivos perdidos. 8 7 Infosecurity Magazine: Os custos com incidentes de segurança relacionados a BYOD ultrapassam os US$ 250 mil 8 Relatório da Forrester: O Impacto Econômico Total do Microsoft Office 365, outubro de 2014 Além disso, o Mobile Device Management (MDM) do Office 365 pode ajudar a proteger os dispositivos da sua empresa em qualquer lugar. Sua equipe de TI pode gerenciar políticas de dispositivos móveis e realizar uma limpeza seletiva dos dados do Office 365 se um funcionário deixar a organização, poupando o tempo dos departamentos de RH, TI e segurança, e evitando dores de cabeça.

12 12 " Precisamos proteger e gerenciar os dispositivos móveis e os smartphones usados fora da rede corporativa, bem como os dados dentro deles. O Enterprise Mobility Suite oferece esses recursos em um único e econômico pacote." Kris Mampaey Diretor de TI Willemen Groep

13 13 PERGUNTA 5 Você se sente limitado pelo seu orçamento de segurança ou tamanho da equipe? Os responsáveis pela segurança corporativa têm a tarefa de contratar equipes que funcionam em tempo integral para gerenciar várias soluções de segurança e milhares de alertas por dia. Eles têm orçamentos e permissões de contratação para isso? Ao analisar a durabilidade da segurança de uma empresa, a liderança deve alocar um orçamento generoso para desenvolver a segurança rapidamente e avaliar se outros orçamentos podem encolher para atender a essas necessidades. Contrate assistência para a gestão, traga mais analistas para a equipe ou aumente consideravelmente o orçamento de TI - descubra o que a sua equipe de segurança precisa e faça as mudanças necessárias para garantir que ela realize o melhor trabalho possível.

14 14 O gasto com segurança cibernética não está diminuindo. O Gartner reportou que o gasto com segurança cibernética atingiu um recorde de US$ 75 bilhões em 2015 e prevê que chegue a US$ 170 bilhões até Steve Morgan, Forbes: Mercado de segurança cibernética atinge US$ 75 bilhões em 2015; Estima-se que chegue a US$ 170 bilhões até 2020

15 15 Felizmente, muitas das ferramentas que sua empresa já usa podem complementar seu plano de segurança. As soluções de sincronização e compartilhamento de arquivos suportadas pela empresa, como o Microsoft SharePoint e o OneDrive for Business, podem eliminar o uso de nuvens invasoras pelos funcionários, além de aprimorar consideravelmente a segurança por trás dos arquivos compartilhados com parceiros e contratados. A formação de uma força-tarefa de segurança cibernética e a comunicação com ela podem ser realizadas com ferramentas de comunicação como a webconferência do Skype for Business e o Exchange Online. Aumente a segurança da sua política de BYOD com aplicativos móveis disponíveis para uma série de programas do Office em dispositivos Apple, Android e Windows. E o mais importante: todas essas ferramentas estão disponíveis dentro do seu orçamento e apresentam uma interface conhecida pelos seus funcionários, graças ao Office 365. Este é o momento de conversar com a sua equipe de segurança. Fomos capazes de gerenciar o uso da nuvem invasora? Protegemos nossa política de BYOD? O que estamos fazendo para nos proteger contra ameaças internas? Minha equipe de segurança tem orçamento suficiente? Criamos nossa força-tarefa de segurança cibernética?

16 16 Deseja ter mais dicas de negócios? Mergulhe nas mentes dos inovadores em tecnologia e negócios com a série de webcasts Local de Trabalho Moderno da Microsoft: webcast-series