[Artigo] – Cibersegurança é um esporte de equipe

A cibersegurança depende de especialistas de todo tipo - CISOs, administradores de sistemas de rede, especialistas em nuvem e muito mais - para alcançar o sucesso. É necessária uma verdadeira equipe para evitar as armadilhas das vulnerabilidades e ataques cibernéticos. E, assim como os esportes coletivos, a segurança cibernética tem regras e regulamentos que ajudam todos a se manterem seguros. Existem várias estruturas de cibersegurança que sua organização pode seguir para melhorar suas defesas cibernéticas. Alguns são baseados em um determinado fornecedor ou princípio de defesa cibernética. Os controles CIS são um programa de segurança bem conhecido com base em dados reais de ataque e um processo de desenvolvimento de consenso. O processo de consenso reúne especialistas em cibersegurança de vários setores em todo o mundo para criar uma lista priorizada de ações de defesa cibernética. Anteriormente conhecido como SANS Top 20, os controles CIS são usados ​​por organizações em todo o mundo para proteger seus sistemas e dados contra ataques cibernéticos.

A cibersegurança depende de especialistas de todo tipo – CISOs, administradores de sistemas de rede, especialistas em nuvem e muito mais – para alcançar o sucesso. É necessária uma verdadeira equipe para evitar as armadilhas das vulnerabilidades e ataques cibernéticos. E, assim como nos esportes coletivos, a segurança cibernética têm regras e regulamentos que ajudam todos a se manterem seguros. Existem várias estruturas de cibersegurança que sua organização pode seguir para melhorar suas defesas cibernéticas. Algumas são baseadas em um determinado fornecedor ou princípio de defesa cibernética. Os controles CIS são um programa de segurança bem conhecido com base em dados reais de ataque e um processo de desenvolvimento de consenso. O processo de consenso reúne especialistas em cibersegurança de vários setores em todo o mundo para criar uma lista priorizada de ações de defesa cibernética. Anteriormente conhecido como SANS Top 20, os controles CIS são usados ​​por organizações em todo o mundo para proteger seus sistemas e dados contra ataques cibernéticos.

Por causa de vários regulamentos e padrões de segurança, as organizações geralmente optam por implementar mais de uma dessas estruturas. Por exemplo, um hospital (nos EUA) pode precisar atender à conformidade de e-mail para GDPR, conformidade financeira para PCI e conformidade de segurança de dados para HIPAA. Como os controles CIS oferecem orientação de segurança priorizada, alguns usuários finais os descreveram como um “ponto de partida” muito útil para atender à conformidade regulamentar.

Não importa qual (is) estrutura (s) de segurança cibernética você escolha implementar, você vai querer compará-la para ver como sua equipe se sai. Sem registrar e anotar a pontuação, como você saberá se realmente melhorou as defesas cibernéticas de sua organização?

Fazendo um balanço, juntos

É importante observar as ações gerais de defesa cibernética de sua organização, não apenas aquelas dentro de um determinado departamento. Depois de identificar uma estrutura de segurança a ser implementada, veja se ela oferece ferramentas ou outros recursos para ajudá-lo a medir sua implementação. O ideal é que todos na equipe possam contribuir com seu trabalho para um controle de segurança específico.

Você vai querer medir e rastrear a implementação do programa de cibersegurança ao longo do tempo, na esperança de alcançar uma porcentagem maior da estrutura ao longo do tempo. É um processo de melhoria contínua!

Neste caso, você pode registrar manualmente a implementação do controle de segurança ou usar uma ferramenta como o CIS CSAT (CIS Controls Self Assessment Tool). O CIS CSAT fornece um método gratuito para as organizações rastrearem a implementação dos controles CIS. Ele oferece a capacidade de diferentes membros da equipe responderem a perguntas de avaliação de controle de segurança, garantindo a responsabilidade em toda a organização. Afinal, em muitas organizações, a pessoa responsável por adicionar registros SPF de e-mail pode não ser a mesma pessoa responsável por proteger os dados de pagamento. O CIS CSAT ajuda toda a equipe a participar da jornada de segurança. As organizações que usam o CIS CSAT também podem:

• Delegar perguntas a outros membros da equipe;

• Definir prazos para cada controle e subcontrole CIS;

• Coletar a documentação relacionada as suas descobertas; e

• Capturar a discussão da equipe sobre cada questão da avaliação.

A Visão do futuro

A cibersegurança depende de especialistas de todo tipo - CISOs, administradores de sistemas de rede, especialistas em nuvem e muito mais - para alcançar o sucesso. É necessária uma verdadeira equipe para evitar as armadilhas das vulnerabilidades e ataques cibernéticos. E, assim como os esportes coletivos, a segurança cibernética tem regras e regulamentos que ajudam todos a se manterem seguros. Existem várias estruturas de cibersegurança que sua organização pode seguir para melhorar suas defesas cibernéticas. Alguns são baseados em um determinado fornecedor ou princípio de defesa cibernética. Os controles CIS são um programa de segurança bem conhecido com base em dados reais de ataque e um processo de desenvolvimento de consenso. O processo de consenso reúne especialistas em cibersegurança de vários setores em todo o mundo para criar uma lista priorizada de ações de defesa cibernética. Anteriormente conhecido como SANS Top 20, os controles CIS são usados ​​por organizações em todo o mundo para proteger seus sistemas e dados contra ataques cibernéticos.

Com o tempo, sua organização deve ser capaz de implementar cada vez mais quaisquer das estruturas de segurança que você decidir. Mas você nunca saberá se não estiver mensurando contabilizando os dados! Meça sua implementação de controle de segurança não apenas uma vez, mas em uma cadência regular. Realizar este procedimento em intervalos programados o ajudará a identificar lacunas na segurança e remediar, mantendo-se atualizado com as melhores práticas existentes no mercado.

Fazendo desta forma, você também poderá ver se a sua organização estará melhorando em relação e adesão das regulamentações de cibersegurança ao longo do tempo.

As organizações podem medir sua conformidade com os controles CIS ao longo do tempo usando o CIS CSAT. Os resultados da avaliação do CIS CSAT podem ser exportados por departamento ou unidade organizacional, ou você pode ter uma visão mais holística da segurança de toda a organização. Com mapeamentos cruzados para estruturas de segurança adicionais, como NIST SP800-53 e PCI DSS, você também pode rastrear seu alinhamento entre outras práticas recomendadas e os controles CIS. Essa ferramenta gratuita também permite que você compare anonimamente seus resultados com a média de sua indústria (setor) ou outros grupos de pares para ajudar a direcionar as decisões de mais alto nível de seu programa de segurança.

Alcance a vitória como um time!

Como mencionamos, é necessária uma equipe inteira para atingir uma postura forte de defesa cibernética. Desde usuários comuns, que identificam uma tentativa de phishing na linha de frente, até especialistas em TI que criam regras de firewall rígidas, isso depende de todos nós. Ao escolher um programa robusto será muito importante medir a implementação e rastrear seus controles de segurança ao longo do tempo – sua equipe pode ganhar muito com isso! E lembre-se, sempre há espaço para crescermos mais seguros em nossos hábitos – na medida em que a cibersegurança pode ser considerada um jogo, nossos oponentes mais verdadeiros serão sempre somos nós mesmos.

Fonte: www.cisecurity.org

Posts relacionados: Como desenvolver uma equipe de Segurança Cibernética qualificada / [Artigo] Treine sua equipe de trabalho para atuar em casa com segurança e CIS Benchmarks – Dicas de Gerenciamento de seu Programa de Segurança Cibernética