Talking Cyber Security with the Board of Directors

Talking Cyber Security with the Board of Directors

Uma entrevista com Josh Shaul, VP, Produtos de Segurança na Web

Quais são os princípios básicos que os membros do conselho precisam saber hoje em dia sobre cibersegurança?

Os membros do conselho reconhecem a importância cada vez maior da cibersegurança. O interesse e a preocupação são altos. É por isso que está na agenda deles. Mas eles provavelmente têm graus de experiência técnica muito diferentes e, portanto, não possuem qualquer conhecimento sobre os problemas. De modo que quando o CIO ou o CSO se reporta ao conselho sobre a postura de cibersegurança da empresa, geralmente há algumas áreas de educação e de nível a serem preenchidas.

Os membros do conselho devem primeiro ter um senso do cenário de ameaças e como esse cenário continua mudando. Inclui a compreensão de alguns conceitos básicos sobre tipos de ataques e defesas. Eles devem entender como ataques diferentes, como DDoS, malware e ataques na Web, exigem defesas diferentes. A segurança é complexa.

Em segundo lugar, eles devem reconhecer que as defesas tradicionais de firewall de perímetro são inadequadas quando a empresa opera on-line e está altamente conectada a clientes e parceiros, às vezes ao redor do mundo. O perímetro precisa ter aberturas, mas quando redes e aplicações estão abertas aos clientes, elas também estão abertas a ataques. Como a empresa se tornou muito distribuída, a segurança também deve ser distribuída.

Terceiro, reconhecer que não existe uma defesa completamente hermética. "A empresa é segura?" não é uma pergunta de sim ou não. As perguntas a serem feitas são: A empresa é segura o suficiente para operar com êxito? Quanto risco estamos dispostos a aceitar? Quanto estamos dispostos a investir para reduzir o nível de risco?

Quarto, saiba que o sucesso é local. As manchetes sobre as principais violações continuam nos lembrando de como uma falha cara pode ser, e há lições a serem aprendidas com o que acontece com os outros. Mas a cibersegurança deve se concentrar nas possíveis ameaças e vulnerabilidades específicas à empresa, mesmo na presença de cobertura da mídia.

Em um mundo ideal, o que o CIO ou CSO gostaria de dizer ao conselho sobre a postura de segurança local?

A discussão abrangeria três tópicos: defesas, clientes e resposta.

Defesas. Temos defesas eficazes. Seguimos as mudanças no cenário de ameaças. Temos visibilidade de nossos ativos e redes digitais. Fizemos toda a diligência que podemos para nos proteger de ser a próxima vítima de um ataque cibernético. Além das defesas de perímetro, temos uma proteção global na nuvem que protege nossos ativos e comunicações onde quer que estejam. Também estamos monitorando as comunicações internas e protegendo-as contra ameaças internas com o mesmo rigor que aplicamos às externas. E, o mais importante, estamos regularmente testando e validando nossas defesas com "fogo ao vivo". Contratamos hackers especializados para tentar nos hackear e corrigimos imediatamente o que pode ser hackeado.

Clientes. Estamos monitorando constantemente o acesso de nossos clientes aos nossos negócios e queremos que eles tenham uma experiência excelente e segura ao interagir conosco. Compreendemos seus comportamentos on-line normais e estamos observando atentamente qualquer acesso anormal. Garantimos que são realmente clientes que estão interagindo com nossos sistemas, e não bots que os estão representando. E notificamos os clientes quando notamos que fraudadores podem ter roubado suas credenciais ou até mesmo identidades. Portanto, estamos protegendo nossos clientes, a privacidade e os dados deles, e, assim, estamos mantendo a confiança de nossos clientes.

Resposta. Estamos preparados, até mesmo para o pior. Nossa equipe é treinada. Eles sabem como responder quando ocorre um ataque ou uma violação. Temos nosso plano de jogo estabelecido, incluindo com quem informaremos e nos envolveremos, incluindo a gerência executiva e a equipe jurídica e de comunicações corporativas. Sabemos como coletaremos evidências e como realizaremos investigações forenses. Realizamos exercícios realistas de resposta a incidentes. Nós não seremos pegos em nossos calcanhares, porque temos nossos processos de resposta a incidentes definidos, e treinamos e continuamos treinando.

Para resumir: Estamos protegidos da melhor forma possível, estamos protegendo nossos clientes e estamos preparados, mesmo para o inesperado. Agora, você disse "mundo ideal". Muitas organizações não podem dizer hoje com honestidade todas essas coisas.

Por que não? O que há no meio do caminho?

A resposta simples geralmente é a falta de financiamento para um programa de segurança mais completo. Mas esse é o sintoma na superfície. Aprofunde-se um pouco e perceberá que o problema é a falta de contexto e direção. Muitas organizações têm dificuldade de determinar a segurança de que precisam, quanto risco estão dispostas a aceitar ou quanto estão dispostas a gastar para chegar a um nível aceitável.

Para ajudar a superar esses obstáculos, recomendamos o desenvolvimento de declarações formais do apetite ao risco da empresa. Por exemplo, uma agência governamental do Departamento do Tesouro tem um apetite ao risco geral relativamente baixo em torno da tecnologia, o que eles subdividem da seguinte maneira:
  • Não há apetite ao risco quanto a acesso não autorizado aos sistemas; portanto, os controles devem estar o mais apertados possível.
  • Baixo apetite ao risco em relação à resiliência dos negócios, o que significa que, se os sistemas pararem, eles precisarão voltar em pouco tempo.
  • Há apetite ao risco moderado quanto ao uso de soluções tecnológicas inovadoras para atender às demandas dos usuários, de modo que não há problema em experimentar dentro dos limites.
Uma empresa comercial operando 24 horas por dia, 7 dias por semana e tentando expandir mercados em todo o mundo teria um apetite ao risco muito diferente. O ponto é articular onde você está, definir alguns limites úteis e obter um alinhamento sobre isso. Para uma área tão importante quanto à cibersegurança, o alinhamento e a aprovação do apetite ao risco devem se estender por toda a equipe executiva, e a equipe deve certificar-se de que o conselho entenda suas decisões.

Essas declarações de princípios orientadores são um método de gerenciamento poderoso. Elas ancoram os princípios importantes de forma segura, ajudam a priorizar os objetivos e as ações, e fornecem uma base para as decisões. Depois de concordar com a visão geral estabelecida nos princípios, as partes interessadas estão mais dispostas a concordar, e mais dispostas a se comprometer, com a forma como os detalhes se desenrolam. E os responsáveis por gerenciar as atividades e tomar as decisões táticas, neste caso, o CIO e o CSO, têm um terreno muito mais firme para se apoiar e maneiras mais convincentes de explicar e justificar suas ações.

Por favor, diga mais sobre como determinar o apetite ao risco.

Ele ajuda a ter alguns pontos de referência externos, sejam referências do setor de práticas de segurança, sejam modelos de maturidade de cibersegurança mais gerais. Terceiros de confiança podem avaliar os recursos de segurança de uma empresa e, às vezes, orçamentos difíceis em relação a pares do setor e concorrentes. Os resultados podem identificar e justificar as ações necessárias, especialmente para evitar estar entre as mais vulneráveis a ataques do setor.

Os modelos de maturidade organizam as defesas e os processos operacionais e de gerenciamento em níveis de capacidade, normalmente cinco ou mais. Uma organização pode fazer uma avaliação e concluir: "Estamos no nível dois e está muito baixo, temos muita exposição aos negócios". O modelo de maturidade pode indicar quais recursos adicionais são necessários para alcançar o nível três. As declarações de apetite ao risco da empresa devem direcionar a meta do nível de maturidade.

Uma técnica útil é testar as declarações de apetite ao risco com cenários locais e verificações de realidade. Por exemplo, uma empresa pode, à primeira vista, pensar que precisa atender a todos os seus clientes on-line 24 horas por dia, 7 dias por semana, sem exceções. Mas, no caso de um grande ataque, estaria disposta a derrubar um sistema importante e bloquear 30% de seus clientes a fim de preservar o acesso do restante?

Como outro exemplo, a empresa pode querer tolerância zero para acesso não autorizado à sua rede. Mas esse é um objetivo impossível, mesmo para as agências de segurança governamentais mais seguras. Na maioria das organizações, esse acesso já aconteceu e está acontecendo neste momento. O desafio é encontrar e neutralizar os invasores. Assim, a pergunta realista sobre o apetite ao risco se torna: Que tipos de invasões precisamos reconhecer e conter?

Cenários como esses devem ser considerados com antecedência e se tornar parte do plano de resposta. O planejamento do cenário deve incluir colocar-se na posição dos invasores e antecipar os ativos que podem estar mais vulneráveis. Se você pode ajudá-lo, não quer tomar decisões importantes em tempo real enquanto está sob ataque e em meio ao "nevoeiro da guerra".

O processo de desenvolvimento e teste de declarações de apetite ao risco é iterativo, muitas vezes centrado em custos, e orientado pela realidade do que é necessário para atender aos objetivos de segurança. "Precisamos do nível X de segurança." "Isso vai nos custar $ 30 milhões." "OK, nesse caso, podemos viver com menos de X." As declarações de apetite ao risco podem também precisar ser alteradas na sequência de ataques, reconhecendo a necessidade de uma segurança melhor ou reconhecendo a realidade de que a organização não está cumprindo seu perfil de risco.

Por fim, e o mais importante, as declarações de apetite ao risco não podem ser genéricas ou teóricas. Elas devem ser específicas o suficiente para a situação da sua empresa para orientar as pessoas nas tomadas de decisões e nas compensações, incluindo as mais difíceis.

Você mencionou a visibilidade no ambiente de computação. Isso deve ser uma base para uma cibersegurança eficiente.

Certamente é. Quanto mais completa a visibilidade, em ativos, conexões, atividade de rede, vulnerabilidades, melhor você será capaz de proteger todo o ambiente. Mas não é tão simples assim.

A segurança abrangente precisa para começar de um inventário preciso das redes, dos sistemas e dos dados da empresa, e isso é um desafio em várias frentes. Um exemplo comum é a localização de dados confidenciais. Muitas organizações não sabem onde tudo está armazenado. Outra é a área de superfície de rede da organização. As conexões, os parceiros e as URLs que podem levar ao ambiente de computação. Em uma empresa grande que está on-line há muito tempo, pode ser muito difícil obter um inventário completo.

Mesmo com um bom inventário, a visibilidade de uma empresa em seu ambiente pode estar incompleta por qualquer um dos vários motivos:
  • Pode não saber onde procurar ou o que procurar. Nesse caso, alguma orientação especializada poderia ser usada.
  • Pode não saber como olhar. Nesse caso, podem também usar a ajuda de ferramentas tecnológicas para monitorar a infraestrutura.
  • Pode não querer ficar com medo do que encontrará...
Essa é uma área delicada e talvez uma "verdade inconveniente" na comunidade de segurança. Podem existir cantos escuros que as organizações não querem iluminar, pois serão obrigadas a corrigir o que for encontrado, e isso pode ser difícil e dispendioso. Às vezes, pode parecer que é melhor nem saber do problema. Mas esse não é o caso.

Não é bom deixar problemas sem serem encontrados. A ignorância não serve como desculpa após uma violação. No entanto, encontrar problemas e deixá-los sem correção pode ser um problema. É uma questão de prioridades. Nenhuma empresa tem o dinheiro, a equipe e outros recursos para corrigir tudo. E há uma tensão inevitável entre a capacidade defensiva, o custo e os riscos comerciais. Assim, voltemos para o apetite ao risco. Com total visibilidade e conhecimento, você pode se concentrar em corrigir as vulnerabilidades que apresentam maior risco. A empresa pode operar confortavelmente dentro do seu apetite ao risco.

Por fim, conte-nos as principais conclusões para CIOs e CSOs.

Primeiro, ao trabalhar com o conselho, cubra mais do que o estado das defesas técnicas e o risco de sofrer ataques. Aborde também a proteção do cliente e a preparação da organização de segurança e dos procedimentos de resposta a incidentes em caso de ataque. Juntos, esses tópicos representam a devida diligência.

Em segundo lugar, o conselho deve entender que a empresa nunca estará completamente segura. Mas que é possível operar dentro de um apetite ao risco intencionalmente determinado e aceitável. De forma geral, o CEO e o conselho devem ser capazes de comunicar a estratégia de segurança e o apetite ao risco às partes interessadas: clientes, funcionários, reguladores e acionistas.

Em terceiro lugar, os líderes de segurança muitas vezes lutam para obter os recursos de que precisam para cumprir suas responsabilidades. Muitos acham difícil comunicar o valor comercial e a necessidade dos programas de segurança aos responsáveis financeiros. Isso ajuda a ter uma cadência regular de comunicação com a equipe executiva e o conselho acerca da cibersegurança e do apetite ao risco. A chave para desbloquear recursos pode ser comparações com pares do setor. Mas lembre-se da realidade de que as necessidades de segurança ajustadas aos riscos podem não incluir tudo o que os líderes de segurança gostariam de realizar.

E quarto, quando os recursos de segurança e o apetite ao risco estão claros, os programas e os processos de cibersegurança podem ajudar a empresa a definir limites para a ação. A segurança não deve ser apenas "não farás isso", mas também "aqui está sua liberdade para operar e inovar on-line". A equipe de cibersegurança deve ser envolvida no início da concepção e desenvolvimento de novas iniciativas de negócios. A cibersegurança deve permitir o progresso da empresa e, ao mesmo tempo, impedir o progresso dos adversários.

Conteúdo relacionado ao CIO