Ultimamente, estamos acostumados a ver na imprensa não especializada informações sobre ataques e incidentes de segurança cibernética: fraude financeira, sites de comércio eletrônico que não são operacionais, dados pessoais ou confidenciais que são roubados ou vazados e muitos outros.
Isto acontece porque estes incidentes não são mais considerados questões de impacto apenas tecnológico ou problemas exclusivos dos Departamentos de Sistemas, o impacto é muito maior, pois afeta todas as áreas de negócios da organização.
Um ciberataque afeta todo o negócio
Clientes, usuários, cidadãos, operações, produção, reputação organizacional e de marca, propriedade intelectual, satisfação do cliente, estes e muitos outros são afetados. Poder-se-ia dizer que tudo afeta direta ou indiretamente a renda econômica e o valor do negócio.
A forma como este tipo de incidente de cibersegurança terá impacto sobre uma empresa dependerá muito da atividade e do setor de mercado no qual a organização está localizada: uma instituição financeira estará mais exposta a ataques direcionados para furto ou fraude financeira. Uma empresa varejista pode ser um alvo atraente para fraudes ou ataques de negação de serviço que coloquem seus sites transacionais fora de operação. Uma instituição de saúde pode sofrer danos à reputação ou ser exposta a sanções regulatórias se houver vazamento de dados confidenciais do paciente.
Estar preparado garante uma recuperação rápida: "Cyber-resiliência".
Em Security Advisor propomos o desenvolvimento de atividades de consultoria que permitam estabelecer como uma organização está exposta a sofrer um incidente de cibersegurança e determinar que capacidades tem para lidar com o incidente, recuperar-se e continuar operando. Em resumo, para estabelecer o quão "ciber-resiliente" a organização é.
Uma das funções de um CISO ou gerente de cibersegurança dentro da organização é atingir um nível adequado de consciência dos recursos humanos, para que eles entendam os riscos aos quais estão expostos, o impacto que pode ter na organização e as melhores práticas que reduzirão a probabilidade de um incidente e minimizarão o impacto caso ele ocorra.
É essencial que a alta administração compreenda os conceitos de risco de segurança cibernética e seu impacto sobre os negócios. Esta consciência da alta administração é o que permitirá a geração de iniciativas e seus orçamentos correspondentes. Além de integrar o componente de ciber-segurança nas outras iniciativas da organização.
Uma equipe especializada
A área de Consultoria da Security Advisor tem uma oferta de serviços orientada à conscientização dos Conselhos de Administração e da Alta Administração que permitem a estas instâncias da administração conhecer os conceitos fundamentais de cibersegurança, ameaças e casos atuais e o possível impacto sobre o negócio.
Levando em conta o impacto que um incidente de cibersegurança pode ter no negócio, também é importante incluir os fornecedores na estratégia de cibersegurança da organização. Um fornecedor pode se tornar uma fonte de vulnerabilidades ou um vetor de ataque para a organização, mas também um incidente de segurança em um fornecedor pode ter impacto na continuidade do negócio da organização.
Em resumo, levando em conta o impacto que um incidente de cibersegurança pode ter nos negócios da organização, além de focar em questões específicas de tecnologia de cibersegurança (criptografia ou tokenization de dados sensíveis, autenticação de transações por mecanismos multifatoriais, etc.), é essencial que as organizações coloquem o foco correto em seus processos (definição adequada de papéis e perfis, segregação de funções, etc.) e na conscientização de seus recursos humanos (atividades de conscientização para Conselhos de Administração e Gerência Sênior).
Sobre o Conselheiro de Segurança
É uma empresa especializada em Segurança da Informação. Ela se dedica a fornecer suporte às áreas tecnológicas e comerciais da organização, avaliando seu status de cibersegurança e definindo e implementando a melhor estratégia a fim de minimizar o impacto que um incidente de cibersegurança pode gerar no negócio. Links diretos:ConsultoriaAnálise de vulnerabilidadesAssessor de segurança
Autor: Carlos Jaureche
Gerente Comercial Consultor de Segurança Chile
Conecta