3 etapas que os CISOs podem seguir para apresentar a estratégia de orçamento
esponder a essas perguntas ajudará os CISOs a definir um plano e conduzir a organização em uma direção positiva.
À medida que 2020 se aproxima do fim, os CISOs e as equipes da infosec devem preparar briefings para a diretoria e C-suite sobre o estado da postura de segurança cibernética de sua organização, incluindo um orçamento abrangente de segurança cibernética para 2021.
Isso não é pouca coisa, pois um dos principais problemas que atormentam os CISOs hoje é que há pouca visibilidade da superfície de ataque de uma empresa. De acordo com uma pesquisa do Ponemon Institute , 88% das violações são devido à falta de higiene cibernética que distorce a perspectiva da postura de segurança de uma empresa. Em última análise, isso significa que os profissionais de segurança continuam enfrentando o desafio de manter uma visibilidade abrangente sobre sua superfície de ataque complexa, ao mesmo tempo que combatem o cenário de ameaças em evolução.
Além do mais, estatísticas recentes confirmam que 16 bilhões de registros foram expostos no primeiro semestre de 2020. Como tal, CISOs e equipes de segurança estão sobrecarregados com o desafio de manter e otimizar a postura de segurança, o que pode ser um impedimento para o desenvolvimento de uma perspectiva estratégica de cibersegurança para a diretoria e C-suite. Dada essa falta de clareza na superfície de ataque e na postura de segurança, como os CISOs podem apresentar uma visão unificada e estratégica para 2021?
Etapa um: obtenha uma compreensão da postura
de segurança cibernética da organização Com bilhões de sinais de segurança em uma superfície de ataque empresarial, os CISOs devem começar com a obtenção de visibilidade contínua e abrangente dos riscos para sua organização, utilizando inteligência artificial (IA) e ferramentas de aprendizagem profunda para entender esse grande número de sinais.
Como os membros do conselho e outros executivos seniores raramente são profissionais qualificados em segurança cibernética, os CISOs são mais bem atendidos quantificando o risco cibernético em termos financeiros que essas partes interessadas entendam. Ao se comunicar na linguagem dos negócios, em vez da tecnologia, os CISOs encontrarão um público mais receptivo, que entende melhor o programa de segurança da informação e tem mais probabilidade de fornecer suporte para as solicitações da equipe infosec.
Etapa dois: construir uma apresentação do conselho
Slide nº 1: Onde estamos no espectro do risco cibernético?
● Este primeiro slide pode ajudar o CISO a identificar onde sua empresa está no espectro do risco cibernético a partir dos dados coletados pelos painéis de risco. Em seguida, ele pode quantificar as pontuações de risco em termos financeiros com base nos controles de segurança atuais e delinear o impacto comercial de uma violação.
Slide No. 2: Quantifique os riscos cibernéticos em toda a empresa.
● Cada empresa é organizada de maneira diferente, portanto, os CISOs devem dividir as áreas de risco em estruturas pré-existentes. Isso pode significar organizar por unidade de negócios ou tipo de ativo. Independentemente disso, a ideia é comunicar as áreas de maior risco do negócio que precisam de foco adicional.
Slide No. 3: Mostre o progresso com as tendências de risco.
● Neste slide, os CISOs podem oferecer um resumo de alto nível com visualizações mostrando como os níveis de risco mudaram desde a última reunião do conselho. Os CISOs também podem apontar áreas específicas de risco que diminuíram ou aumentaram e apoiar essas conclusões com dados.
Slide nº 4: Onde queremos estar?
● Uma conversa aberta com o conselho sobre onde a organização deve estar no espectro do risco cibernético é fundamental. As empresas têm uma superfície de ataque em constante expansão conforme os dados aumentam e a tecnologia acelera. Além disso, os funcionários estão mudando para o trabalho remoto, o que traz uma nova camada de preocupações com a segurança.
Slide nº 5: Como chegaremos lá? Elabore um plano.
● Neste último slide, os CISOs podem apresentar uma lista priorizada de projetos e implantações para o próximo trimestre e o impacto esperado no risco geral em relação ao custo projetado.
● Para responder “como vamos chegar lá?” efetivamente, os CISOs precisam conhecer as áreas mais vulneráveis de sua postura de segurança. Eles podem então apresentar os principais grupos de risco que precisam ser tratados, construindo um caso comparando o custo das mitigações com a probabilidade de uma violação e o impacto comercial de uma violação para cada área.
Etapa três: desenvolver um orçamento para 2021 Os
CISOs reconhecem que não podem reduzir o risco cibernético de sua organização a zero. Ainda assim, eles podem reduzi-lo tanto quanto possível, concentrando-se na eliminação dos riscos mais significativos primeiro. Portanto, ao desenvolver um orçamento, os CISOs devem considerar uma abordagem proativa baseada em risco que se concentre nos maiores riscos cibernéticos enfrentados pela empresa. Essa abordagem baseada em risco permite que o CISO quantifique o risco em todas as áreas de fraqueza cibernética e, em seguida, priorize onde os esforços são melhor empregados. Isso garante o máximo impacto de equipes e orçamentos fixos.
O fato é que o Instituto Nacional de Padrões e Tecnologia relata que uma violação média pode custar a uma organização mais de US $ 4 milhões – mais caro do que o orçamento geral de muitas organizações. Considere um cenário em que um CISO investe pesadamente em medidas proativas, evitando com sucesso uma grande violação, enquanto outro investe principalmente em medidas reativas e acaba limpando após uma grande violação. A vantagem é que um (o CISO com inclinação proativa) acaba gastando 10 vezes menos no geral.
Como CISO, se você se colocar no lugar do conselho e comunicar e quantificar claramente o risco cibernético geral de sua organização, sua mensagem será melhor recebida e você terá mais chances de obter o suporte necessário para transformar a postura de segurança cibernética de sua empresa.
Uma base sólida para o sucesso da apresentação do conselho
Embora haja mais conscientização entre os principais líderes e membros do conselho sobre os desafios assustadores da segurança cibernética, a visão de um membro do conselho sobre a segurança cibernética se preocupa principalmente com a segurança cibernética como um conjunto de itens de risco, cada um com uma certa probabilidade de acontecer com algum impacto nos negócios.
Para apresentar um plano e orçamento precisos, os CISOs devem compreender o inventário de TI da organização, incluindo a criticidade dos ativos, outros itens de risco e quais controles de compensação são eficazes. Uma solução de IA pode ajudar uma organização a analisar os sinais de dados em toda a superfície de ataque em uma base contínua e em tempo real para quantificar o risco, priorizar as tarefas mais importantes e definir um plano e uma visão para o futuro.
Dessa forma, responder a essas perguntas com antecedência ajudará os CISOs a definir um plano e conduzir a organização em uma direção positiva.
