Os 9 principais temas dos CISOs para 2022
É essa época do ano em que inevitavelmente acabamos refletindo um pouco sobre o que passou. Geralmente, fazemos uma lista de resoluções para o próximo ano, nossas prioridades e como alcançá-las. Durante os últimos meses, tive a oportunidade de conversar com dezenas de CISOs de diferentes países e, destas conversas surgiram nove temas prioritários para 2022.
#1: Melhorar a comunicação entre as diretorias
Existe o potencial de otimizar a comunicação entre as equipes de alta gerência, os conselhos consultivos, as equipes de liderança executiva e os CISOs. Embora alguns relatassem que tinham oportunidades adequadas para interagir, a maioria dos CISOs que ouvi compartilharam que as conversas que tinham muitas vezes não estavam estruturadas e muitas vezes não tinham uma cadência regular. Como esperado, houve também uma sensação de que o papel do CISO ainda é mais valorizado quando há uma crise e, em vez disso, empurrado para baixo na lista de prioridades quando não está acontecendo um incidente.
As três maneiras pelas quais isso poderia ser melhorado são: 1) um modelo de governança estruturado com representação de alto nível 2) um conjunto acordado de KPI que reflita os requisitos comerciais e 3) oportunidades regulares para demonstrar como a segurança da informação é um facilitador do negócio.
#2: Garantir que a segurança é resistente à mudança empresarial
Os CISOs revelaram que a resiliência é um tema cada vez mais importante em um sentido mais amplo e, portanto, é essencial que a segurança cibernética seja resistente à mudança e possa se mover com o negócio. Isso pode ser feito por meio do planejamento de atividades de continuidade de negócios/ recuperação de desastres com antecedência. Os CISOs devem ser incluídos nas actividades do BC/DR, uma vez que a sua contribuição continua a ser essencial neste processo, mas há uma clara necessidade de mais ações, como o exercício superior tangível para incluir a gestão empresarial na discussão.
#3: O risco deve ser um problema compartilhado
Em mais de uma ocasião, os CISOs disseram que quando a questão do risco surgiu durante as discussões do conselho, a equipe de segurança foi descrita como uma pequena ilha por si só. Estabelecer a propriedade do risco e o reconhecimento do risco com os colegas de negócios muitas vezes pode ser difícil, mas para mitigar os riscos futuros, há uma grande necessidade de identificar vários pontos de riscos no negócio e não simplesmente delegá-lo para o CISO.
#4: Preparando-se para “A Grande Resignação”
Houve uma opinião de que a contratação de novo pessoal era difícil e mesmo com requisitos amplos, pode levar meses para identificar uma nova contratação, o que muitas vezes leva à situação indesejável de correr com equipamentos robustos. Atualmente está sendo escrito muito sobre a “grande renúncia”, que é provável que continue interrompendo todas as indústrias neste novo ano. Portanto, é justo dizer que é provável que este problema piore antes de melhorar. Alguns CISOs estão vendo o trabalho remoto como uma solução possível; as equipes distribuídas são vistas como uma necessidade em algumas circunstâncias, mas também há a necessidade de que as equipes possam se reunir de forma presencial regularmente.
#5: Manter a equipe de TI fora da escuridão
Para muitos CISOs, um problema crescente que deve ser abordado é de novos soluções criadas sem o conhecimento das equipes de segurança, mesmo quando se estabelecem diretrizes claras que proíbem tal comportamento dentro das empresas. Com frequência, a velocidade e a disponibilidade tendem a prevalecer sobre os fatores de segurança. Como resultado, eles estão constantemente enfrentando o problema da equipe de “TI na escuridão”, que vai aumentar à medida que mais e mais empresas se movem para a nuvem. A solução dos desafios de TI começa com a usabilidade, evitando soluções alternativas arriscadas.
#6: Luz no fim do túnel para a gestão de riscos de terceiros?
Este continua a ser um problema, especialmente em torno de avaliações de terceiros que, muitas vezes são longas, em um formato não-padronizado e realizadas com prazos muito curtos. A boa notícia é que trabalha-se na produção de quadros que garantam uma certificação padronizada para terceiros, como no setor de serviço financeiro do Reino Unido, com a Declaração de Supervisão do Banco da Inglaterra – SS2/21: Outsourcing e gestão de riscos de terceiros, que entra em vigor em 31 de março de 2022. O progresso nesta área certamente será muito bem-vindo, dado o quanto os CISOs necessitam poder confiar nos processos. Porém os CISOs ainda devem garantir que o seu alcance de áreas de risco é suficientemente amplo para incluir qualquer fornecedor ou colaborador que tenha acesso remoto ao login de qualquer aplicativo empresarial.
#7 Mais foco em dados e privacidade
Este é um problema em que o valor dos dados não é reconhecido. A privacidade é cada vez mais regulamentada com a entrada em vigor da regulamentação regional e local. O julgamento da Schrems também exigirá que os CISOs se concentrem mais nos dados e onde eles são armazenados. Nos últimos anos, tem havido um grande foco nas regras GDPR da UE, revelando as áreas em que os CISOs têm focado sua energia quando se trata de dados e privacidade. Em termos gerais, estes incluem verificar a identidade do usuário, verificar o estado de todos os dispositivos do usuário e garantir o acesso a qualquer aplicação. Para mais detalhes sobre cada um destes, você pode encontrar um link para o nosso guia de privacidade de dados que pode ser aplicado para áreas fora do GDPR.
#8 Gestão da dívida de segurança
Os CISO deixaram claro que a questão da dívida técnica ou da dívida de segurança está a ganhar importância. A necessidade de gerenciar sistemas mais antigos enquanto se adapta ao novo ambiente e o risco e o custo em que ele incorre é especialmente importante a considerar na área de tecnologia operacional (OT). Além disso, alguns sistemas OT não podem ser facilmente corrigidos ou até mesmo têm ferramentas de segurança básicas como anti-malware instalado neles. Finalmente, este problema é especialmente relevante quando os sistemas ainda usam software de fim de vida (EOL) que ainda é crítico para a organização.Para citar o meu colega do CISO da Global Advisory, Dave Lewis, em sua apresentação da Cúpula Virtual de Cibersegurança 2021 no início deste ano, “Dívida de segurança, correndo com tesouras” para rastrear e abordar a dívida de segurança, as organizações devem desenvolver e implementar processos definidos e repetíveis. Devem buscar estratégias como o modelo de confiança zero, confiar mas verificar, saneamento de entradas e saídas, e, claro, assegurar-se de executar correções.
#9 Ransomware, ransomware e mais ransomware
Este é o principal problema tático que preocupa os CISOs. Para obter detalhes sobre o que você pode fazer para proteger sua empresa contra o ransomware, confira o recente estudo da Cisco Secure sobre o assunto. Neste relatório, irá ajudá-los a decidir onde focalizar seus esforços. O Security Outcomes Study vol.2, foi realizado de forma independente e baseia-se numa sondagem com mais de 5.000 profissionais ativos de TI, segurança e privacidade em 27 países. Você irá encontrar as cinco principais práticas-chave para aumentar a eficiência da segurança da informação de sua empresa, principalmente contra os ataques de Ransomware.
Tags: