Uma estratégia de gerenciamento de riscos cibernéticos mais inteligente
A segurança cibernética agora está listada como uma das principais prioridades globalmente, de acordo com a mais recente Pesquisa Global Anual de CEOs da PwC, ficando atrás apenas da pandemia em termos de preocupações extremas. Portanto, a estratégia de gerenciamento de riscos de segurança cibernética não deve mais ser vista como uma preocupação exclusiva do CTO e do Diretor de TI; ele precisa estar na agenda de toda cadeia de suprimentos e diretor técnico.
Os dados têm o potencial de transformar o gerenciamento de riscos e a resiliência. As ferramentas corretas de dados, análises e relatórios podem ajudar a estabelecer onde o risco futuro é mais provável de ocorrer e onde não, permitindo que os recursos se concentrem em áreas onde o maior valor está em jogo. O uso dessas métricas também pode ajudar a evitar o viés emocional na tomada de decisões: os riscos que assumimos são maiores nem sempre são aqueles que exigem um acompanhamento mais próximo.
Se um componente ou técnica pode apresentar maior risco de falha, pode não fazer sentido inspecionar ou auditar da mesma maneira orientada ao cronograma. Da mesma forma, métodos mais eficientes podem ser desenvolvidos para áreas de menor risco, liberando recursos para focar e garantir as atividades de maior risco. Um parceiro de garantia digital experiente poderá oferecer consultoria sobre quais dados monitorar e como analisar e agir sobre eles.
A oportunidade oferecida pela transformação digital é significativa, mas a experiência nos diz que a implementação pode ser desafiadora e, se abordada de forma fragmentada, é improvável que produza o impacto certo. Um estudo de 2020 revelou que, das atualizações digitais implementadas no início da pandemia, 59% exigiam correções de curto prazo para resolver problemas decorrentes da implantação apressada. Isso poderia ter sido evitado se a garantia e a mitigação de riscos tivessem sido melhor integradas ao processo de gerenciamento de mudanças.
Um erro comum é adotar uma abordagem orientada para a tecnologia, implantando a tecnologia pela tecnologia. Fundamentalmente, o ponto de partida para as organizações que buscam digitalizar suas operações e programas de garantia de risco deve ser os problemas que desejam resolver, não a tecnologia ou a fonte de dados que sentem que está faltando. Isso requer uma estratégia de garantia digital coesa que inclua a combinação certa de pessoas, processos e tecnologia.
A crescente digitalização e fluxos de dados aumentam as vulnerabilidades em potencial que os agentes de ameaças mal-intencionados podem explorar. Os fornecedores são uma fonte vital de dados para qualquer empresa que deseje obter uma visão completa de suas operações e garantia de qualidade, mas essa cadeia de suprimentos digital também precisa de garantia de segurança cibernética. As organizações precisam estar cientes não apenas de sua própria estratégia de gerenciamento de riscos de segurança cibernética, mas também do potencial de ameaças cibernéticas que surgem ao avaliar a cadeia de suprimentos.
Nos últimos anos, vimos uma mudança no cenário de ameaças cibernéticas com ransomware, dobrando em frequência para contabilizar 10% de todas as violações e cada vez mais sendo direcionadas às cadeias de suprimentos por meio do ransomware dormente. Esses ataques não apenas ganham privilégios na rede do host, mas também veem como todo o ecossistema pode ser afetado. A natureza global das cadeias de suprimentos aumenta o impacto potencial desses ataques, aumentando a importância da avaliação de riscos na segurança cibernética.
Nesse ambiente, as auditorias tradicionais e uma avaliação anual de riscos de segurança cibernética não são mais adequadas. Eles fornecem apenas um instantâneo dos sistemas em um momento e não consideram novas vulnerabilidades ou alterações no sistema necessárias nesse ínterim.
Uma solução para esses dois problemas é o monitoramento contínuo dos controles. Isso permite que as organizações rastreiem, em tempo real, os dados necessários para uma avaliação de risco de segurança cibernética, incluindo os obtidos de fornecedores. As plataformas e painéis de inteligência de ameaças podem facilitar uma abordagem de monitoramento contínuo e proativo.
Uma abordagem colaborativa com fornecedores e especialistas pode ajudar uma organização a dar grandes passos no desenvolvimento de uma abordagem mais inteligente para a garantia de riscos e estabelecer a garantia de informações apropriada em segurança cibernética.
A exigência de certificação em relação aos padrões globais de sistemas de gestão, como a ISO 27001 , e o direito de auditar e avaliar a segurança de TI fazem parte de muitos acordos contratuais. A estrutura de segurança cibernética do Instituto Nacional de Padrões e Tecnologia (NIST) também está ganhando terreno como um padrão global que considera a necessidade de observar os controles dos fornecedores. Isso oferece uma vantagem mútua para ambas as partes, com os compradores ajudando a educar e aprimorar os fornecedores, aumentando a competência e a resiliência em toda a cadeia.
Tudo isso aponta para a necessidade de integrar a resiliência cibernética aos programas de garantia de riscos digitais de uma forma adaptada ao negócio, abordando as ameaças que você conhece e levando em consideração aquelas que você não conhece. O monitoramento contínuo e colaborativo de dados operacionais e segurança da informação, vulnerabilidades e ameaças pode mitigar melhor os riscos, aumentar a eficiência e facilitar a tomada de decisões mais informada.
A ServDigital é especialistas no oferecimento de projetos e soluções personalizadas para Segurança de Dados e conformidade da LGPD.
www.servdigital.com.br
#servdigital #segurançadedados #proteçãodedados #segurançadigital #cibersegurança #ciberataque #ransomware #malware