Escolar Documentos
Profissional Documentos
Cultura Documentos
Os desafios
Enfrentando CISOs hoje
Fortalecendo a resiliência
em um mundo digital
Um white paper
Machine Translated by Google
Introdução
Neste artigo, examinaremos alguns dos desafios mais comuns que os CISOs
enfrentam, desde a migração para a nuvem até a contratação de pessoal,
gerenciamento de dados, cultura e automação, descrevendo as melhores
abordagens que você pode adotar para resolver esses problemas.
2 Os desafios enfrentados pelos CISOs hoje Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com
Machine Translated by Google
Cultura
Na base de todos os desafios enfrentados pelos CISOs está a a serem comunicados devem ser elaborados e executados regularmente.
necessidade de criar uma cultura de consciência de segurança dentro da
organização. Quanto mais pessoas entenderem isso, mais bem equipada
sua organização estará. A segurança é um processo iterativo que se desenvolve ao longo do
tempo, começando por acertar os fundamentos. A comunicação
Pode haver uma cultura herdada e mentalidades desatualizadas contínua, o treinamento de conscientização sobre segurança e os
que exigem “modificação” – isto é um envolvimento das pessoas. exercícios simulados de segurança garantirão que a mensagem seja
Descrever os riscos e benefícios para a organização pode ajudar a recebida e compreendida pelos funcionários.
influenciar as percepções. Um plano de comunicação de segurança
detalhando o cronograma, formas de comunicação e conteúdos a serem
Estrutura organizacional
Compreender a estrutura organizacional interna da empresa também é mandato que os CISOs devem reportar ao CEO. Um estudo recente
importante. A quem o CISO se reporta? descobriu que, em Israel, por exemplo, existem leis que determinam que
Atualmente, as linhas hierárquicas dos CISOs tendem a ser divididas os CISOs reportem diretamente ao CEO.
entre o CEO, o CIO e outros executivos de nível C.
A autonomia dos CISOs para cumprirem o seu papel de proteção da
A linha hierárquica precisa ser determinada de acordo com a estratégia organização é crucial e precisa de ser totalmente compreendida a nível do
de negócios e também deve ser apropriada para a organização. conselho.
Mesmo assim, alguns reguladores começaram a
Os desafios enfrentados pelos CISOs hoje Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com
Machine Translated by Google
O envolvimento das partes interessadas é particularmente importante para os CISOs. tanto em termos de ser proativo com os requisitos regulatórios quanto com o
Manter os membros do conselho regularmente atualizados sobre informações, riscos envolvimento reativo no gerenciamento de incidentes.
de negócios relacionados à segurança, envolvimento ativo no orçamento e
Como a função do CISO abrange toda a organização, a integração da segurança
obtenção de benefícios é crucial para obter adesão generalizada.
exige uma ampla adesão das outras funções de TI. O envolvimento com os líderes das
equipas técnicas, tais como as equipas de rede, base de dados, servidores e
Os funcionários precisam ser informados sobre todos os aspectos do programa de armazenamento, verificando os seus níveis de segurança, proteção de dados e
segurança que lhes diz respeito. Devem também conhecer e compreender os continuidade de negócios e implementando um programa de melhoria contínua da
riscos associados à não compreensão dos fundamentos dos comportamentos segurança, resultará numa capacidade de segurança mais madura.
seguros de cibersegurança.
Desenvolvimentos da indústria
Manter-se atualizado sobre o ambiente em rápida mudança é uma carga de • usar tecnologias de colaboração para compartilhar informações
trabalho. Para tomar decisões informadas, os CISOs devem estar cientes de todos os e links de interesse
Cadeia de mantimentos
À medida que as organizações crescem e adaptam novas tecnologias, as suas Um processo abrangente de integração, revisão de controles e atestados de
cadeias de abastecimento tornam-se mais longas e complexas. As dependências tecnologia, acordos legais de proteção e de nível de serviço que atendam aos
aumentam ao longo do tempo e as avaliações contínuas de segurança dos requisitos de negócios são essenciais para mitigar os riscos da cadeia de suprimentos
fornecedores são essenciais. e gerenciar problemas, caso eles surjam.
4 Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com Os desafios enfrentados pelos CISOs hoje
Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com
Os desafios que os CISOs enfrentam hoje
Machine Translated by Google
Tecnologias em nuvem
A taxa de crescimento da pilha de tecnologia em nuvem sobre a qual os CISOs • envolver-se com gerentes de conta CSP por meio de um processo formal (por
devem manter uma postura de segurança controlada é bastante surpreendente. exemplo, revisão trimestral de negócios)
para refletir novos recursos, melhorias na interface do usuário (IU), correções IaaS (devido à flexibilidade, velocidade de lançamento no mercado, modelagem de
de bugs e solicitações de recursos do cliente. Do ponto de vista do CISO, os controles custos e funcionalidade rica em recursos oferecida pelos CSPs), os CISOs precisam
de segurança, os resultados dos testes de penetração e os relatórios de estar cientes dessas funções e também do uso ou uso pretendido das plataformas por
remediação/auditoria são, portanto, válidos apenas por um período de tempo sua organização.
cada vez menor.
O envolvimento com o escritório de gerenciamento de projetos (PMO) e as equipes
A integração de conjuntos de dados e aplicativos locais, de data center e baseados de desenvolvimento, a comunicação da tolerância ao risco e das práticas de
em nuvem acrescenta complicações adicionais que exigem avaliação e ação. gerenciamento de riscos da organização e a implantação de tecnologia
Portanto, os CISOs e suas equipes precisam: apropriada ajudarão o CISO a manter uma postura adequada de governança, risco e
conformidade (GRC) no uso de serviços em nuvem.
Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com Os desafios enfrentados pelos CISOs hoje 5
Machine Translated by Google
Automação
Tem havido muita discussão sobre automação em a carga de trabalho da equipe de segurança, liberando-os para ameaças
segurança. A escassez de pessoal, combinada com o volume de dados, leva ao mais avançadas que estão fora do escopo do SOAR.
uso de ferramentas automatizadas para agilizar eventos de baixo valor e alto volume.
Embora várias empresas de tecnologia ofereçam plataformas
automatizadas de resposta de segurança, os CISOs devem ser analíticos na sua
Orquestração, automação e resposta de segurança (SOAR) reúne o coletivo abordagem a estas ferramentas e decidir – com base em requisitos individuais
de tecnologias de segurança empregadas por uma organização. Ao – até que ponto a pilha de tecnologia pode permitir que as ferramentas operem.
analisar ameaças, priorizá-las do ponto de vista comercial e implementar processos Equilibrar a cessão de controlo e manter a responsabilidade é fundamental.
automáticos de remediação, essas mudanças podem equilibrar
Gestão de dados
A gestão, a segurança e a utilização operacional dos dados nunca foram tão com outras partes, para determinar quais dados requerem ação sob políticas de
importantes. retenção e destruição de dados. Além dos requisitos de segurança e
privacidade, este exercício ajuda as organizações a controlar os custos de
O valor dos dados pode basear-se tanto na utilização explícita para a qual hospedagem e backup de dados, bem como a eliminar a responsabilidade de produzir
são fornecidos como, em muitos casos, na sua utilização implícita quando se dados antigos se for feita uma solicitação eletrônica de descoberta e liberdade de
trata de metadados. Os CISOs devem ter um forte conhecimento do ciclo de vida informação ou uma ordem semelhante do GDPR.
dos dados. Eles também devem trabalhar em estreita colaboração com os
proprietários dos dados para garantir que as informações sejam protegidas
durante toda a sua jornada dentro da organização. É importante notar que os CISOs não devem restringir-se apenas às versões
electrónicas dos dados, mas também devem trabalhar com as partes interessadas
Um exercício de mapeamento de dados pode determinar a localização, em cópias físicas que estão sujeitas às mesmas políticas e ciclo de vida.
tamanho, propriedade e idade dos dados. Isso permite que os CISOs, em conjunto
Gerenciamento de Incidentes
À medida que as organizações crescem, as suas “áreas de superfície” de ataque o que pode ser uma situação extremamente prejudicial.
aumentam e tornam-se cada vez mais atraentes para os criminosos. Neste O custo dos incidentes só pode ser calculado vários meses depois, à medida que
contexto, os incidentes de segurança são inevitáveis. são calculados os danos à reputação, o preço das ações, a perda de negócios,
a rotatividade de pessoal, as multas regulamentares e o custo da limpeza.
Violações maliciosas, ransomware, vetores de ataque por e-mail, atividades
cibernéticas patrocinadas pelo Estado, ameaças persistentes avançadas (APT),
roubo de propriedade intelectual e negligência interna (deliberada ou acidental) Com a entrada em vigor do GDPR, os incidentes regulatórios estão cada vez
foram manchetes no ano passado. Quando esses incidentes ocorrem, o foco recai mais em evidência. O conhecimento de todos os regulamentos, especialmente
firmemente sobre o CISO e o processo de gerenciamento de incidentes (IM) que ele quando se trata de saber onde os dados residem globalmente e um bom
possui. relacionamento de trabalho com as equipes jurídicas e de
conformidade da organização, são essenciais para atender aos requisitos de
Governança, Risco e Conformidade (GRC).
Seguir um modelo de IM padronizado ou personalizado (ou seja, que reflita a
cultura ou estratégia de uma organização) pode ajudar a compensar
66 Os desafios enfrentados pelos CISOs hoje Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com
Machine Translated by Google
Gerenciamento de identidade
À medida que os dados e as aplicações vão além dos ativos de uma organização • Gerenciamento de aplicativos
e os modelos de trabalho dos utilizadores se tornam mais flexíveis, a • Consciência geolocalização
utilização da Gestão de Identidade e Acesso Privilegiado (IAM\PAM) avançou
• Controles de acesso baseados em funções (RBAC)
enormemente nos últimos tempos, com alcance alargado aos serviços na
nuvem. • Princípio do Menor Privilégio (POLP)
• Identidades federadas CISOs devem aconselhar a gestão executiva sobre o compromisso entre
o uso de ofertas públicas de CSP e provedores de identidade terceirizados.
• Logon único (SSO)
Mídia social
A atividade nas redes sociais é, obviamente, extremamente prevalente informações ou detalhes identificáveis da empresa) via LinkedIn ou outras
no mundo empresarial atual, ajudando grandes e pequenas organizações a contas para dificultar tentativas de engenharia social.
promover a sua atividade. Os CISOs precisam estar cientes de todos os canais Da mesma forma, as mensagens de ausência do escritório devem ser
sociais usados pela organização e tomar todas as medidas de segurança para personalizadas entre aquelas enviadas internamente e aquelas enviadas externamente.
proteger esses canais.
Alguns fornecedores oferecem tecnologias que auxiliam a governação da
O envolvimento com departamentos como Marketing para auxiliar em atividade das redes sociais, colocando-se em linha entre os utilizadores e
controles como MFA ajuda a minimizar o risco de comprometimento de as plataformas de redes sociais para permitir que as organizações monitorizem
contas corporativas. Os funcionários também devem evitar fornecer muitos e se protejam de comunicações negativas ou inadvertidas.
detalhes (por exemplo, informações confidenciais
Isenção de
empresa do Grupo BSI não poderão receber serviços de certificação BSI dentro
de um período de 2 anos após a conclusão da consultoria.
Conclusão
O CISO de hoje deve trazer um conjunto híbrido de habilidades para a função. Eles
devem ser pragmáticos, conscientes dos negócios, orientados para as pessoas e com
mentalidade técnica. Eles devem equilibrar os requisitos do negócio com o cenário
de segurança em constante mudança e em vários canais.
Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com Os desafios enfrentados pelos CISOs hoje 7
Machine Translated by Google
e aorganizações
resiliência daprotejam informações,
informação dados
– Protegendo e infraestrutura
suas informações, crítica
pessoascontra ameaças em constante mudança que afetam a segurança cibernética
e reputação
seu pessoal, processos e sistemas; fortalecendo sua governança da informação e garantindo resiliência.
Nossos profissionais de cibernética, segurança da informação e gerenciamento de dados são especialistas em:
SSeecc
cceeéé rrtete,,
você
você
eueu
vv
eerr
eueu
um
um
uau _
-es um
um
ee,, rere
rt-
eu t
eu
Conscientizaçãododo usuário final nn -se
ce você Soluçõesde
Soluções desegurança
segurançana
nanuvem
nuvem Conscientização usuário final -se
e
Gerenciamentode
devulnerabilidades
vulnerabilidades Simulações
um
dede phishing
-s
e
re
b Gerenciamento Simulações phishing ddn
Gerenciamentode
Gerenciamento deincidentes
incidentes Engenharia
Engenharia social
social
t-
t
eC
C
e, , r
um
Teste de
Teste depenetração/
penetração/ Informaçõescertificadas
Informações certificadas eu
n
Equipevermelha
Equipe vermelha cursos
cursosdedesegurança
segurança neu
gg
CISOVirtual
CISO virtual Cursos
Cursos presenciais
presenciais e personalizados
e personalizados
Avaliação de
Avaliação de segurança/risco
segurança/riscode
deterceiros
terceiros Soluçõesinterativas
Soluções interativason-line
on-line
PCIDSS,
DSS,estrutura
estrutura NIST
EU
EU
n Descobertaeletrônica/divulgação
Descoberta eletrônica/divulgaçãoeletrônica
eletrônica PCI NIST
r
of Forensedigital
Forense digital ISO/IEC 27001,
Implementação daSOC 2 27001
ISO/IEC
ée
milímetros
_ ceu
Tecnologiajurídica
Tecnologia jurídica Laboratóriocibernético
Laboratório cibernéticocredenciado
credenciado
tum (CAS, CPA, CTAS)
vRé
eu Proteçãode
dedados
dados(RGPD)
(RGPD) eéec
Proteção
nno Critérios comuns (CPA, CAS)
Avaliação da proteção de dados eu
milímetros
_ Solicitaçõesdo
Solicitações dotitular
titulardos
dosdados
dados Avaliação da proteção
vó
sim
RRe
num (DSAR)suporte
(DSAR) suporte deInternet
dados das Coisas (IoT)
-s
e
gum
eu
DPO como
DPO como serviço
serviço Verificaçãodo
Verificação doGDPR
GDPR ev
_
ee
milímetros _ a nacd _
eue
eenn cp _
eu
tt umum ó a
n-eum
nndd _ Cp eu
pprrv eueu
C ó eu
v cc um
um
sim
sim
Descubra mais
thgirypo©
C