Para proteger os seus ativos, você precisa realizar as avaliações de segurança cibernética regularmente. As ameaças evoluem constantemente e o que te protegeu no passado pode não ser efetivo contra as ameaças atuais. Você também tem obrigações legais de conduzir rotinas de avaliação, por conta de regulações como a GDPR, LGPD, CCPA etc.
De acordo com o banco de dados da CVE, há mais de 11.000 vulnerabilidade conhecidas em softwares e sistemas bastante utilizados. A IBM calculou que essas vulnerabilidades custou em média cerca de US$3,92 bilhões as empresas, em 60% desses incidentes os patches estavam disponíveis para serem aplicados.
Em todos os casos, quanto mais você conhece das ameaças, mais preparado você estará para aumentar a resiliência do seu ambiente cibernético.
O que é uma avaliação de segurança cibernética?
Uma avaliação de segurança cibernética examina os seus controles de segurança e como eles lidam com as vulnerabilidades conhecidas. É similar a uma avaliação de risco cibernético, uma parte do processo de gerenciamento de risco no qual é incorporado padrões de ameaça com o intuito de medir a resiliência cibernética. Uma avaliação de segurança completa inclui uma visão geral da infraestrutura de segurança da companhia.
Componentes
A avaliação de segurança cibernética examina a infraestrutura de tecnologia da informação da companhia assim como suas políticas e práticas relacionadas à segurança. Ela avalia:
- Sistemas de proteção existentes
- Conformidade com as regulações de segurança
- Vulnerabilidade a incidentes de segurança
- Resiliência contra ameaça potencial
Com estes dados combinados, as equipes de segurança podem identificar as vulnerabilidades e fortalecer as defesas.
Objetivos
Uma avaliação de segurança cibernética tem como objetivo lidar com quaisquer brechas para vulnerabilidades e remediar suas fraquezas, priorizando problemas com o maior potencial de impacto no negócio.
As avaliações também ajudam as equipes de segurança cibernética a aprimorar a comunicação com os gerentes. As estratégias de segurança mais efetivas estão integradas em todas as operações da companhia.
Para atingir esses objetivos, uma avaliação de segurança cibernética precisa incluir as seguintes informações:
- A natureza e o valor dos ativos cibernéticos da empresa
- A origem das potenciais ameaças
- As vulnerabilidades que podem permitir que as ameaças cibernéticas se materializem
- A probabilidade de prejuízo
- O risco ou possibilidade de impacto nas operações e nos ativos
- O nível de conformidade com as regulações de segurança e privacidade
Quais são os passos que devo seguir na avaliação de segurança cibernética?
Uma avaliação de segurança cibernética completa começa com o inventário, progredindo para a avaliação de vulnerabilidade e terminando com a estratégia.
Primeiro passo: Defina a sua postura de segurança existente
Sua postura de segurança é a força atual da sua estrutura de segurança cibernética. Ela incorpora o hardware, software e onde ambos interagem, assim como as políticas e processos que movem os dados através da sua rede. Isso inclui:
- Fazer um inventário das proteções incorporados ao seu ambiente tecnológico
- Documentar os procedimentos que você usa para mitigar os riscos
Caso você não tenha os protocolos prontos, você precisará documentar esse fato.
Segundo passo: Analisar os requisitos de conformidade
A maioria das companhias tem que cumprir com pelo menos uma regulação de segurança cibernética, mas nem todo o negócio sabe quais controles aplicar neles. É importante ter conhecimento deles montando uma lista completa das:
- Regulações que se aplicam a sua companhia
- As medidas de segurança que cada regulação pede
Caso você ainda não tenha um software de conformidade no ambiente, é a hora de adquirir um. As ferramentas certas te ajudam a se manter em conformidade identificando quaisquer brechas de segurança.
Terceiro passo: Avalie a maturidade dos controles de segurança existentes
A parte principal da sua avaliação de segurança cibernética. Ela determina quão bem desenvolvida é a sua estratégia de segurança baseada nos objetivos da sua companhia e nas normas da indústria.
Você começara definindo um perfil de risco e apontando alvos de risco aceitáveis. Depois, você irá avaliar a maturidade da sua segurança contra esses alvos, medindo quaisquer vãos entre os controles e riscos. Você irá ver essa informação não apenas de forma isolada, mas também se elas vão contra os padrões da indústria e os padrões de conformidade requisitados.
Quarto passo: Desenvolve um planejamento de mitigação de risco
Aqui é onde você desenvolve a sua estratégia para diminuir os vãos entre a sua postura de segurança e os seus ativos de maior risco. Sua estratégia precisa priorizar as ações a serem tomadas e a alocação apropriada dos recursos. Para isso, considere o valor e o custo de cada ativo. O plano de priorização será o que você irá relatar a quem toma as decisões, enquadrando as recomendações em relação às prioridades da organização.
Tipos de avaliação de segurança cibernética
A forma com que você realizará a avaliação de segurança dependerá de qual informação é mais importante.
A efetividade da avaliação de segurança cibernética
Esse tipo de avaliação envolve um inventário completo dos controles de segurança da sua organização e uma avaliação do quão bem eles funcionam. Uma técnica efetiva para isso é o teste de penetração no qual profissionais especialistas treinados em segurança cibernética tentam perfurar as defesas do seu ambiente. Esse teste pode ser realizado internamente ou feito por um provedor de serviço.
Uma avaliação efetiva também avalia a resiliência da sua postura de segurança: O quão rápido seu ecossistema de segurança para responder e para se recuperar de um ataque.
Avaliação de resiliência operacional
A resiliência operacional mede a habilidade da organização fazer duas coisas:
- Prevenir interrupções
- Responder e se recuperar rapidamente de uma interrupção de um processo de negócio
Para testar sua resiliência operacional você deverá avaliar o quão bem a sua companhia:
- Adapta suas tarefas de gerenciamento com base em ameaças anteriores
- Se prepara para potenciais ameaças e monitora funções críticas em sistemas de risco
- Suporta ataques cibernéticos enquanto mantem as operações em funcionamento
- Recupera a operação e a infraestrutura após um ataque
Esse tipo de avaliação testará as respostas dos seus ativos de TI e sistemas como um todo, não apenas as suas práticas de segurança ou postura de segurança.
Avaliação de gerenciamento de dependências externas
Toda organização depende de entidades externas até certo ponto. Sua organização não pode monitorar diretamente as vulnerabilidades de toda a rede, mas você pode avaliar e se assegurar contra riscos apresentados.
Para avaliar o quão bem sua companhia gerencia relacionamentos externos você precisa olhar:
- Se a sua companhia tem uma estratégia para dependências externas
- Como a companhia identifica e gerencia os riscos relacionados a cada dependência
- Quais sistemas de gerenciamento de relacionamento estão informados sobre os riscos
- Se há um plano para manter a continuidade caso uma ameaça se materialize
Esse processo é complexo. Envolve pessoal de todos os departamentos que têm dependências externas.
Avaliação de risco e vulnerabilidades
Essa avaliação foca em onde o seu ecossistema está mais vulnerável a um ataque. Para encontrar os vãos, você deve olhar tanto para as pessoas quanto para os sistemas. Em particular, você deve determinar o quão vulnerável estão os seus sistemas a engenharia social, uma estratégia que hackers utilizam para enganar funcionários e garantindo acesso a dados cruciais. Isso envolve uma avaliação das práticas e respostas da sua equipe de segurança cibernética a ameaças potenciais.
O teste de penetração é outra parte da equação. Testando o quão fácil o hacker pode infiltrar os seus sistemas, você deve encontrar onde a sua segurança deve ser aprimorada.
Conclusão
O processo de avaliação de segurança cibernética é necessário. Ele esclarece onde as vulnerabilidades podem existir na sua infraestrutura de segurança cibernética e usa os resultados para priorizar uma estratégia de desenvolvimento. Resultados da avaliação de segurança cibernética oferecerão imenso valor para a sua organização.
