Estratégia Executiva: 3 pilares da cibersegurança

calendar 17 Ago 2022 compass Blog

São cada vez mais comuns as notícias de ataques de cibersegurança perpetrados por grupos criminosos. Sejam as motivações financeiras ou apenas de visibilidade, empresas e organismos veem o seu negócio paralisado e em risco. Dados são expostos ou vendidos pela melhor oferta, cabendo depois às organizações todo o trabalho de mitigação e de gestão de reputação.

A proteção de uma organização tem de ser uma prioridade para a gestão de topo, que não deve simplesmente delegar esta responsabilidade nas áreas de IT, Segurança, CISO, DPO ou colaboradores. Criar uma cultura de awareness, transversal a toda a hierarquia, é fundamental para mitigar riscos.

A proteção de uma organização é um caminho contínuo, com pequenos quick-wins e assente em 3 pilares: pessoas, processos e tecnologia. Negligenciar um destes vetores poderá, inclusive, colocar em causa a continuidade do negócio!


Pessoas

As pessoas são o elo mais fraco desta tríade. Cansaço, excesso de tarefas em mãos, falta de conhecimento ou distração são apenas alguns dos fatores que podem levar a comportamentos de risco no que toca à cibersegurança.

Recorde aos seus colaboradores que são uma peça-chave neste processo, adotando programas continuados de consciencialização para a cibersegurança, com medição dos resultados de campanhas de phishing ou USB Drop, por exemplo. Aposte ainda em medidas adicionais como formação online, eventos internos ou booklets disponíveis para consulta.

Crie mecanismos simples para denúncia de ameaças e avalie continuamente o risco da atividade humana para a cibersegurança.


Processos

Os processos internos de cada organização mapeiam os passos ou as ações necessárias para atingir um determinado objetivo. Definir e rever processos é uma oportunidade para mitigar riscos e identificar possíveis melhorias. E na área de cibersegurança não é diferente.

Adote e publique uma política de segurança de informação, abrangendo processos de gestão de ativos e sua classificação de risco, gestão de acessos, gestão de vulnerabilidades, patch management, resposta a incidentes e continuidade do negócio. A preparação da documentação deve ter como base frameworks como o NIST, normas como o ISO27001 ou documentação nacional definida pelo CNCS (Ex: Quadro Nacional de Referência para a Cibersegurança).


Tecnologia

Numa organização, a tecnologia deve suportar pessoas e processos. Garantir a mitigação dos principais vetores de ataque através da introdução de controlos técnicos que garantam visibilidade, automação e orquestração é um passo que não deve descurar na estratégia de segurança.

Levantámos 10 pontos que deve ter em consideração na gestão da área tecnológica da empresa:

  1. Perímetro: proteja os dados onde quer que estes residam, estejam eles numa cloud privada, pública ou híbrida.
  2. Proteção de email: a adoção de plataformas como o Office 365 não é suficiente para garantir higiene e visibilidade das mensagens. Além disso, não oferece um controlo eficaz na autenticação e autorização.
  3. Proteção de conteúdos: a adoção de soluções de firewalls aplicacionais e balanceadores é fator primordial para assegurar o virtual-patching de aplicações ou serviços expostos vulneráveis.
  4. Endpoint ou dispositivos móveis: integração de gestão centralizada, suporte de novas ameaças e telemetria contínua.
  5. Cloud: analise a autenticação/autorização e eventuais comportamentos anómalos nas instâncias.
  6. Identidade: adote uma solução de gestão de identidades, on-board, alteração de perfil, descomissionamento e autenticação multi-fator.
  7. Palavras-Chave: utilize uma solução de gestão de palavras-chave, incorporando capacidades de armazenamento seguro, rotação, isolamento e gravação de sessões.
  8. Implemente uma solução de patching e gestão de vulnerabilidades.
  9. Dados: aposte no governo de dados estruturados e não estruturados e na sua classificação e proteção, através de soluções de DAM, DLP ou IRM.
  10. Faça a gestão e armazenamento de Logs, eventos, incidentes e resposta automática utilizando soluções de SIEM e SOAR.

Para concluir, deve ser dada especial atenção à existência de serviços de pen testing continuados, permitindo auferir o estado de cibersegurança de serviços e sites expostos, infraestrutura (Lan/Wifi) e aplicações móveis de uma forma regular ou on-demand.


Uma aposta segura

Com o crescimento dos ciberataques e com o aumento da sua complexidade, empresas e organizações devem fazer da cibersegurança uma prioridade e um tema na agenda de todos os colaboradores e stakeholders.

Aposte numa estratégia de segurança focada em pessoas, processos e tecnologia de modo a garantir uma maior proteção em caso do ataque. E, se precisar de ajuda, fale connosco! A equipa da Oramix conta com mais de 20 anos de experiência na definição e implementação de estratégias de cibersegurança.