Machine Translated by Google

Os desafios
Enfrentando CISOs hoje
Fortalecendo a resiliência
em um mundo digital

Um white paper
Machine Translated by Google

Introdução

Os Chief Information Security Officers (CISOs) têm uma infinidade de

desafios que precisam ser enfrentados de frente. Os desafios tradicionais
de gestão de informações ampliaram-se para acomodar o crescimento
dos canais tecnológicos, o tamanho dos dados e um cenário de segurança
cibernética em constante evolução.

Os CISOs precisam aplicar técnicas de gestão de risco para atender à

estratégia e aos objetivos de negócios, garantindo ao mesmo tempo que as medidas
de segurança sejam aplicadas de maneira apropriada. Construir a postura de
segurança da sua organização através de um modelo incremental e em
constante melhoria produz maturidade de segurança a longo prazo. Este deve ser sempre o objetivo.

Neste artigo, examinaremos alguns dos desafios mais comuns que os CISOs
enfrentam, desde a migração para a nuvem até a contratação de pessoal,
gerenciamento de dados, cultura e automação, descrevendo as melhores
abordagens que você pode adotar para resolver esses problemas.

2 Os desafios enfrentados pelos CISOs hoje Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com
Machine Translated by Google
Cultura
Na base de todos os desafios enfrentados pelos CISOs está a
necessidade de criar uma cultura de consciência de segurança dentro da
organização. Quanto mais pessoas entenderem isso, mais bem equipada
sua organização estará.
Pode haver uma cultura herdada e mentalidades desatualizadas
que exigem “modificação” – isto é um envolvimento das pessoas.
Descrever os riscos e benefícios para a organização pode ajudar a
influenciar as percepções. Um plano de comunicação de segurança
detalhando o cronograma, formas de comunicação e conteúdos a serem
Medindo o estado atual
Compreender o estado atual de uma organização, que naturalmente muda
diariamente, é fundamental.
Os CISOs podem munir-se do conhecimento de onde priorizar os esforços
para os requisitos futuros do estado, medindo o perfil de segurança atual
e completando exercícios de análise de lacunas
Estrutura organizacional
Compreender a estrutura organizacional interna da empresa também é
importante. A quem o CISO se reporta?
Atualmente, as linhas hierárquicas dos CISOs tendem a ser divididas
entre o CEO, o CIO e outros executivos de nível C.
A linha hierárquica precisa ser determinada de acordo com a estratégia
de negócios e também deve ser apropriada para a organização.
Mesmo assim, alguns reguladores começaram a
Os desafios enfrentados pelos CISOs hoje
a serem comunicados devem ser elaborados e executados regularmente.
A segurança é um processo iterativo que se desenvolve ao longo do
tempo, começando por acertar os fundamentos. A comunicação
contínua, o treinamento de conscientização sobre segurança e os
exercícios simulados de segurança garantirão que a mensagem seja
recebida e compreendida pelos funcionários.
e monitorar e analisar tendências de medição. O estabelecimento e
o desenvolvimento de métricas de segurança, como indicadores-chave de
risco (KRIs), a criação de scorecards equilibrados para a gestão
executiva e a comunicação dessas informações aos membros da
equipe, também ajudam a aumentar a conscientização sobre a progressão
da segurança.
mandato que os CISOs devem reportar ao CEO. Um estudo recente
descobriu que, em Israel, por exemplo, existem leis que determinam que
os CISOs reportem diretamente ao CEO.
A autonomia dos CISOs para cumprirem o seu papel de proteção da
organização é crucial e precisa de ser totalmente compreendida a nível do
conselho.
Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com
Machine Translated by Google

Gerenciamento de partes interessadas

O envolvimento das partes interessadas é particularmente importante para os CISOs.
Manter os membros do conselho regularmente atualizados sobre informações, riscos
de negócios relacionados à segurança, envolvimento ativo no orçamento e
obtenção de benefícios é crucial para obter adesão generalizada.
Os funcionários precisam ser informados sobre todos os aspectos do programa de
segurança que lhes diz respeito. Devem também conhecer e compreender os
riscos associados à não compreensão dos fundamentos dos comportamentos
seguros de cibersegurança.
tanto em termos de ser proativo com os requisitos regulatórios quanto com o
envolvimento reativo no gerenciamento de incidentes.
Como a função do CISO abrange toda a organização, a integração da segurança
exige uma ampla adesão das outras funções de TI. O envolvimento com os líderes das
equipas técnicas, tais como as equipas de rede, base de dados, servidores e
armazenamento, verificando os seus níveis de segurança, proteção de dados e
continuidade de negócios e implementando um programa de melhoria contínua da
segurança, resultará numa capacidade de segurança mais madura.

Para organizações sujeitas a regulamentações, uma relação de trabalho com a

autoridade reguladora pode ser benéfica

Desenvolvimentos da indústria

Manter-se atualizado sobre o ambiente em rápida mudança é uma carga de • usar tecnologias de colaboração para compartilhar informações
trabalho. Para tomar decisões informadas, os CISOs devem estar cientes de todos os e links de interesse

desenvolvimentos relevantes na indústria.

• utilizar a experiência de um consultor de segurança ou órgão especializado
terceirizado
A construção de experiência e conhecimento em sua equipe de segurança pode
ser aprimorada por: Organismos nacionais como o Instituto Nacional de Padrões

e Tecnologia (NIST) nos EUA, o Centro Nacional de Segurança Cibernética (NCSC)

• inscrever-se em blogs, podcasts e webinars
• participar de seminários e eventos do setor
• desenvolver planos de desenvolvimento pessoal
no Reino Unido e a Agência Europeia para a Segurança das Redes e da
Informação (ENISA) na UE fornecem orientações valiosas sobre segurança da
informação.

Cadeia de mantimentos

À medida que as organizações crescem e adaptam novas tecnologias, as suas Um processo abrangente de integração, revisão de controles e atestados de
cadeias de abastecimento tornam-se mais longas e complexas. As dependências tecnologia, acordos legais de proteção e de nível de serviço que atendam aos
aumentam ao longo do tempo e as avaliações contínuas de segurança dos requisitos de negócios são essenciais para mitigar os riscos da cadeia de suprimentos
fornecedores são essenciais. e gerenciar problemas, caso eles surjam.

4 Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com Os desafios enfrentados pelos CISOs hoje
Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com
Os desafios que os CISOs enfrentam hoje
Machine Translated by Google

Tecnologias em nuvem

A taxa de crescimento da pilha de tecnologia em nuvem sobre a qual os CISOs • envolver-se com gerentes de conta CSP por meio de um processo formal (por
devem manter uma postura de segurança controlada é bastante surpreendente. exemplo, revisão trimestral de negócios)

O alinhamento com os proprietários de negócios e aplicativos ajuda o CISO a

Com a cultura DevOps atualmente em vigor, os provedores de serviços de nuvem construir uma visão informada. Em conjunto com o uso extensivo de SaaS e o uso
(CSP) estão constantemente manipulando seu código de software SaaS mais envolvente de PaaS e

para refletir novos recursos, melhorias na interface do usuário (IU), correções
de bugs e solicitações de recursos do cliente. Do ponto de vista do CISO, os controles
de segurança, os resultados dos testes de penetração e os relatórios de
remediação/auditoria são, portanto, válidos apenas por um período de tempo
cada vez menor.
A integração de conjuntos de dados e aplicativos locais, de data center e baseados
em nuvem acrescenta complicações adicionais que exigem avaliação e ação.
Portanto, os CISOs e suas equipes precisam:
IaaS (devido à flexibilidade, velocidade de lançamento no mercado, modelagem de
custos e funcionalidade rica em recursos oferecida pelos CSPs), os CISOs precisam
estar cientes dessas funções e também do uso ou uso pretendido das plataformas por
sua organização.
O envolvimento com o escritório de gerenciamento de projetos (PMO) e as equipes
de desenvolvimento, a comunicação da tolerância ao risco e das práticas de
gerenciamento de riscos da organização e a implantação de tecnologia
apropriada ajudarão o CISO a manter uma postura adequada de governança, risco e
conformidade (GRC) no uso de serviços em nuvem.

• revisar notas de versão dos CSPs

• assinar blogs técnicos de CSP

• inscrever-se nos webinars do CSP, pois eles descrevem desenvolvimentos

novos e iminentes

Vulnerabilidade e gerenciamento de configuração

Os sistemas operacionais (SO) continuam sendo uma preocupação para os CISOs, com Embora um programa de normalização ajude a resolver alguns destes desafios,
a cessação do suporte de segurança para sistemas operacionais Windows herdados, poderá nem sempre ser possível numa organização global onde a utilização de
como as edições de servidor Windows 7 e Windows 2008 (R2), e o lançamento diversas tecnologias, em conjunto com a extracção e consolidação de
semestral contínuo de atualizações do Windows 10. dados, pode ser necessária para cumprir os requisitos de relatórios e riscos.

Quando levamos em consideração os requisitos de sistemas operacionais móveis e

de servidor, os desafios incluem a ampla variedade de versões de sistemas
operacionais, diversos níveis de suporte do fornecedor, diversos métodos de
implantação de patches e relatórios. Em conjunto com o gerenciamento do sistema
operacional, os CISOs também devem considerar os riscos associados ao

gerenciamento de dispositivos (por exemplo, shadow IT).

Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com Os desafios enfrentados pelos CISOs hoje 5
Machine Translated by Google
Automação
Tem havido muita discussão sobre automação em
segurança. A escassez de pessoal, combinada com o volume de dados, leva ao
uso de ferramentas automatizadas para agilizar eventos de baixo valor e alto volume.
Orquestração, automação e resposta de segurança (SOAR) reúne o coletivo
de tecnologias de segurança empregadas por uma organização. Ao
analisar ameaças, priorizá-las do ponto de vista comercial e implementar processos
automáticos de remediação, essas mudanças podem equilibrar
Gestão de dados
A gestão, a segurança e a utilização operacional dos dados nunca foram tão
importantes.
O valor dos dados pode basear-se tanto na utilização explícita para a qual
são fornecidos como, em muitos casos, na sua utilização implícita quando se
trata de metadados. Os CISOs devem ter um forte conhecimento do ciclo de vida
dos dados. Eles também devem trabalhar em estreita colaboração com os
proprietários dos dados para garantir que as informações sejam protegidas
durante toda a sua jornada dentro da organização.
Um exercício de mapeamento de dados pode determinar a localização,
tamanho, propriedade e idade dos dados. Isso permite que os CISOs, em conjunto
Gerenciamento de Incidentes
À medida que as organizações crescem, as suas “áreas de superfície” de ataque
aumentam e tornam-se cada vez mais atraentes para os criminosos. Neste
contexto, os incidentes de segurança são inevitáveis.
Violações maliciosas, ransomware, vetores de ataque por e-mail, atividades
cibernéticas patrocinadas pelo Estado, ameaças persistentes avançadas (APT),
roubo de propriedade intelectual e negligência interna (deliberada ou acidental)
foram manchetes no ano passado. Quando esses incidentes ocorrem, o foco recai
firmemente sobre o CISO e o processo de gerenciamento de incidentes (IM) que ele
possui.
Seguir um modelo de IM padronizado ou personalizado (ou seja, que reflita a
cultura ou estratégia de uma organização) pode ajudar a compensar
66 Os desafios enfrentados pelos CISOs hoje
a carga de trabalho da equipe de segurança, liberando-os para ameaças
mais avançadas que estão fora do escopo do SOAR.
Embora várias empresas de tecnologia ofereçam plataformas
automatizadas de resposta de segurança, os CISOs devem ser analíticos na sua
abordagem a estas ferramentas e decidir – com base em requisitos individuais
– até que ponto a pilha de tecnologia pode permitir que as ferramentas operem.
Equilibrar a cessão de controlo e manter a responsabilidade é fundamental.
com outras partes, para determinar quais dados requerem ação sob políticas de
retenção e destruição de dados. Além dos requisitos de segurança e
privacidade, este exercício ajuda as organizações a controlar os custos de
hospedagem e backup de dados, bem como a eliminar a responsabilidade de produzir
dados antigos se for feita uma solicitação eletrônica de descoberta e liberdade de
informação ou uma ordem semelhante do GDPR.
É importante notar que os CISOs não devem restringir-se apenas às versões
electrónicas dos dados, mas também devem trabalhar com as partes interessadas
em cópias físicas que estão sujeitas às mesmas políticas e ciclo de vida.
o que pode ser uma situação extremamente prejudicial.
O custo dos incidentes só pode ser calculado vários meses depois, à medida que
são calculados os danos à reputação, o preço das ações, a perda de negócios,
a rotatividade de pessoal, as multas regulamentares e o custo da limpeza.
Com a entrada em vigor do GDPR, os incidentes regulatórios estão cada vez
mais em evidência. O conhecimento de todos os regulamentos, especialmente
quando se trata de saber onde os dados residem globalmente e um bom
relacionamento de trabalho com as equipes jurídicas e de
conformidade da organização, são essenciais para atender aos requisitos de
Governança, Risco e Conformidade (GRC).
Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com
Machine Translated by Google

Gerenciamento de identidade

À medida que os dados e as aplicações vão além dos ativos de uma organização • Gerenciamento de aplicativos
e os modelos de trabalho dos utilizadores se tornam mais flexíveis, a • Consciência geolocalização
utilização da Gestão de Identidade e Acesso Privilegiado (IAM\PAM) avançou
• Controles de acesso baseados em funções (RBAC)
enormemente nos últimos tempos, com alcance alargado aos serviços na
nuvem. • Princípio do Menor Privilégio (POLP)

• Senhas únicas/com limite de tempo/restritas pelo sistema

As organizações estão cada vez mais migrando para um modelo de
identidade baseado em confiança zero, usando:
Proteger as identidades dos usuários é uma decisão comercial crucial e os

• Identidades federadas CISOs devem aconselhar a gestão executiva sobre o compromisso entre
o uso de ofertas públicas de CSP e provedores de identidade terceirizados.
• Logon único (SSO)

• Autenticação multifator (MFA)

Mídia social
A atividade nas redes sociais é, obviamente, extremamente prevalente
no mundo empresarial atual, ajudando grandes e pequenas organizações a
promover a sua atividade. Os CISOs precisam estar cientes de todos os canais
sociais usados pela organização e tomar todas as medidas de segurança para
proteger esses canais.
O envolvimento com departamentos como Marketing para auxiliar em
controles como MFA ajuda a minimizar o risco de comprometimento de
contas corporativas. Os funcionários também devem evitar fornecer muitos
detalhes (por exemplo, informações confidenciais
informações ou detalhes identificáveis da empresa) via LinkedIn ou outras
contas para dificultar tentativas de engenharia social.
Da mesma forma, as mensagens de ausência do escritório devem ser
personalizadas entre aquelas enviadas internamente e aquelas enviadas externamente.
Alguns fornecedores oferecem tecnologias que auxiliam a governação da
atividade das redes sociais, colocando-se em linha entre os utilizadores e
as plataformas de redes sociais para permitir que as organizações monitorizem
e se protejam de comunicações negativas ou inadvertidas.

Isenção de

responsabilidade O BSI é um Organismo de Certificação para Gestão credenciado

Certificação de sistema e certificação de produto. Nenhuma empresa do Grupo BSI

pode fornecer consultoria em sistemas de gestão ou consultoria em produtos que

possam violar os requisitos de acreditação. Os clientes que receberam qualquer forma

de consultoria de sistema de gestão ou consultoria de produto de qualquer

empresa do Grupo BSI não poderão receber serviços de certificação BSI dentro
de um período de 2 anos após a conclusão da consultoria.

Conclusão
O CISO de hoje deve trazer um conjunto híbrido de habilidades para a função. Eles
devem ser pragmáticos, conscientes dos negócios, orientados para as pessoas e com
mentalidade técnica. Eles devem equilibrar os requisitos do negócio com o cenário
de segurança em constante mudança e em vários canais.

Isto só pode ser alcançado trabalhando com o negócio, compreendendo a estratégia da

organização, envolvendo pessoas a todos os níveis, empregando tecnologia apropriada e, em
última análise, construindo uma equipa que se dedique a garantir que a empresa permaneça
resiliente em termos de segurança.

Ligue: +44 345 222 1711 /+353 1 210 1711 Email: cyber@bsigroup.com Visite: bsigroup.com Os desafios enfrentados pelos CISOs hoje 7
Machine Translated by Google

Cibersegurança e resiliência da informação do BSI

Protegendo suas informações, pessoas e reputação
A segurança cibernética e a resiliência da informação do BSI ajudam você a enfrentar seus desafios de informação. Permitimos que as

e aorganizações
resiliência daprotejam informações,
informação dados
– Protegendo e infraestrutura
suas informações, crítica
pessoascontra ameaças em constante mudança que afetam a segurança cibernética
e reputação
seu pessoal, processos e sistemas; fortalecendo sua governança da informação e garantindo resiliência.
Nossos profissionais de cibernética, segurança da informação e gerenciamento de dados são especialistas em:

SSeecc
cceeéé rrtete,,
você
você
eueu

vv
eerr
eueu
um
um
uau _
-es um
um
ee,, rere
rt-
eu t
eu
Conscientizaçãododo usuário final nn -se
ce você Soluçõesde
Soluções desegurança
segurançana
nanuvem
nuvem Conscientização usuário final -se
e
Gerenciamentode
devulnerabilidades
vulnerabilidades Simulações
um
dede phishing
-s
e
re
b Gerenciamento Simulações phishing ddn
Gerenciamentode
Gerenciamento deincidentes
incidentes Engenharia
Engenharia social
social
t-
t
eC
C
e, , r
um
Teste de
Teste depenetração/
penetração/ Informaçõescertificadas
Informações certificadas eu
n
Equipevermelha
Equipe vermelha cursos
cursosdedesegurança
segurança neu
gg
CISOVirtual
CISO virtual Cursos
Cursos presenciais
presenciais e personalizados
e personalizados

Avaliação de
Avaliação de segurança/risco
segurança/riscode
deterceiros
terceiros Soluçõesinterativas
Soluções interativason-line
on-line

PCIDSS,
DSS,estrutura
estrutura NIST
EU
EU
n Descobertaeletrônica/divulgação
Descoberta eletrônica/divulgaçãoeletrônica
eletrônica PCI NIST

r
of Forensedigital
Forense digital ISO/IEC 27001,
Implementação daSOC 2 27001
ISO/IEC
ée
milímetros
_ ceu
Tecnologiajurídica
Tecnologia jurídica Laboratóriocibernético
Laboratório cibernéticocredenciado
credenciado
tum (CAS, CPA, CTAS)
vRé
eu Proteçãode
dedados
dados(RGPD)
(RGPD) eéec
Proteção
nno Critérios comuns (CPA, CAS)
Avaliação da proteção de dados eu
milímetros
_ Solicitaçõesdo
Solicitações dotitular
titulardos
dosdados
dados Avaliação da proteção
vó
sim
RRe
num (DSAR)suporte
(DSAR) suporte deInternet
dados das Coisas (IoT)
-s
e
gum
eu
DPO como
DPO como serviço
serviço Verificaçãodo
Verificação doGDPR
GDPR ev
_
ee
milímetros _ a nacd _
eue
eenn cp _
eu
tt umum ó a
n-eum
nndd _ Cp eu

pprrv eueu
C ó eu
v cc um
um
sim
sim

Nossa expertise é credenciada por:

Descubra mais
thgirypo©
C

Reino Unido IE/Internacional

Ligue: +44 345 222 1711 +353 1 210 1711

E-mail: cyber@bsigroup.com cyber.ie@bsigroup.com
Visite: bsigroup.com bsigroup.com
Machine Translated by Google