A segurança da informação é um problema do negócio, e a solução vai muito além de implantar tecnologias como firewalls e antivírus e esperar que nada aconteça dentro da rede.
As empresas precisam adotar uma abordagem proativa de gerenciamento de riscos, identificando e protegendo seus ativos mais importantes, incluindo informação, tecnologias e processos críticos.
O gerenciamento de riscos de segurança permite ainda que a empresa avalie o que está tentando proteger e por quê, e tenha um suporte na tomada de decisões e na identificação das medidas de segurança necessárias de acordo com o contexto do negócio.
Porém, alinhar a gestão de riscos corporativos ao gerenciamento de riscos cibernéticos tem se mostrado um desafio para as empresas.
Nos últimos anos, o gerenciamento de riscos tem ocupado papéis de destaque na agenda dos executivos, especialmente nas empresas mais maduras do ponto de vista da TI e da segurança. O nível de preocupação cresce principalmente diante das notícias de novas violações de dados, mesmo com ferramentas de detecção cada vez mais potentes.
Os escaneamentos de vulnerabilidades passaram a ocupar um papel fundamental na estratégia de segurança, mas geralmente resulta apenas em um amontoado de planilhas e em diferentes times de TI tentado solucionar problemas sem nenhuma coordenação entre os grupos.
Entenda os principais desafios envolvendo o gerenciamento de riscos cibernéticos em 2017
Priorização de riscos
Na hora de priorizar ameaças, muitas empresas usam a escala de Common Vulnerability Scoring System (CVSS). Mesmo assim, levando em consideração esses dados, a quantidade de vulnerabilidades que precisam de remediação pode ser enorme.
Em empresas maiores, essa métrica pode gerar milhões de vulnerabilidades críticas – que podem causar danos em larga escala na infraestrutura. O que as empresas precisam responder é: o que de fato é crítico para o negócio?
As empresas precisam de contexto adicional para determinar o que de fato é um risco para o ambiente de TI. Entre os fatores adicionais, é possível considerar, por exemplo, o valor do ativo, a correlação entre a vulnerabilidade e a disponibilidade de falhas públicas, ataques e malwares ativos, e outros dados.
Para dar mais agilidade e melhorar os processos de identificação e correção, as empresas terão de investir em plataformas que otimizem a gestão de riscos, como o GAT, da iBLISS, que oferece gestão de forma integrada, dando uma visão total do grau de exposição do ambiente de TI, incluindo servidores, redes, aplicações, processos e auditorias.
Programa de governança de dados
Geralmente os programas de gerenciamento de riscos são de difícil avaliação em comparação com outras funções operacionais, como vendas, pois é difícil traduzir os resultados em métricas valiosas para o negócio.
O resultado dos programas de governança de dados dependem de aspectos como a natureza regulatória da indústria na qual a empresa atua e da estratégia geral de gerenciamento de riscos. No entanto, as equipes de TI e segurança podem demonstrar valor quando podem demonstrar o nível de risco removido de sistemas críticos.
Dados do Guia de Investimento em Segurança Digital para 2017, da iBLISS, mostram que a definição de métricas é uma das áreas que deve exigir investimentos este ano. Empresas que ainda não são capazes de gerar esse tipo de informação terão de investir mais em plataformas de gerenciamento de riscos e ameaças em segurança digital.
O GAT, plataforma exclusiva desenvolvida no Brasil pela iBLISS, fornece dados, métricas e indicadores para definir a priorização e o investimento dos recursos, bem como o estado de exposição do ambiente de acordo com as vulnerabilidades encontradas por múltiplas plataformas. Conheça o GAT e saiba como a plataforma pode melhorar seu gerenciamento de riscos.
FONTE: IBLISS