Partilhe:

Estratégia Executiva: 3 pilares da cibersegurança

17 Ago 2022 Blog

São cada vez mais comuns as notícias de ataques de cibersegurança perpetrados por grupos criminosos. Sejam as motivações financeiras ou apenas de visibilidade, empresas e organismos veem o seu negócio paralisado e em risco. Dados são expostos ou vendidos pela melhor oferta, cabendo depois às organizações todo o trabalho de mitigação e de gestão de reputação.

A proteção de uma organização tem de ser uma prioridade para a gestão de topo, que não deve simplesmente delegar esta responsabilidade nas áreas de IT, Segurança, CISO, DPO ou colaboradores. Criar uma cultura de awareness, transversal a toda a hierarquia, é fundamental para mitigar riscos.

A proteção de uma organização é um caminho contínuo, com pequenos quick-wins e assente em 3 pilares: pessoas, processos e tecnologia. Negligenciar um destes vetores poderá, inclusive, colocar em causa a continuidade do negócio!

Pessoas

As pessoas são o elo mais fraco desta tríade. Cansaço, excesso de tarefas em mãos, falta de conhecimento ou distração são apenas alguns dos fatores que podem levar a comportamentos de risco no que toca à cibersegurança.

Recorde aos seus colaboradores que são uma peça-chave neste processo, adotando programas continuados de consciencialização para a cibersegurança, com medição dos resultados de campanhas de phishing ou USB Drop, por exemplo. Aposte ainda em medidas adicionais como formação online, eventos internos ou booklets disponíveis para consulta.

Crie mecanismos simples para denúncia de ameaças e avalie continuamente o risco da atividade humana para a cibersegurança.

Processos

Os processos internos de cada organização mapeiam os passos ou as ações necessárias para atingir um determinado objetivo. Definir e rever processos é uma oportunidade para mitigar riscos e identificar possíveis melhorias. E na área de cibersegurança não é diferente.

Adote e publique uma política de segurança de informação, abrangendo processos de gestão de ativos e sua classificação de risco, gestão de acessos, gestão de vulnerabilidades, patch management, resposta a incidentes e continuidade do negócio. A preparação da documentação deve ter como base frameworks como o NIST, normas como o ISO27001 ou documentação nacional definida pelo CNCS (Ex: Quadro Nacional de Referência para a Cibersegurança).

Tecnologia

Numa organização, a tecnologia deve suportar pessoas e processos. Garantir a mitigação dos principais vetores de ataque através da introdução de controlos técnicos que garantam visibilidade, automação e orquestração é um passo que não deve descurar na estratégia de segurança.

Levantámos 10 pontos que deve ter em consideração na gestão da área tecnológica da empresa:

Perímetro: proteja os dados onde quer que estes residam, estejam eles numa cloud privada, pública ou híbrida.
Proteção de email: a adoção de plataformas como o Office 365 não é suficiente para garantir higiene e visibilidade das mensagens. Além disso, não oferece um controlo eficaz na autenticação e autorização.
Proteção de conteúdos: a adoção de soluções de firewalls aplicacionais e balanceadores é fator primordial para assegurar o virtual-patching de aplicações ou serviços expostos vulneráveis.
Endpoint ou dispositivos móveis: integração de gestão centralizada, suporte de novas ameaças e telemetria contínua.
Cloud: analise a autenticação/autorização e eventuais comportamentos anómalos nas instâncias.
Identidade: adote uma solução de gestão de identidades, on-board, alteração de perfil, descomissionamento e autenticação multi-fator.
Palavras-Chave: utilize uma solução de gestão de palavras-chave, incorporando capacidades de armazenamento seguro, rotação, isolamento e gravação de sessões.
Implemente uma solução de patching e gestão de vulnerabilidades.
Dados: aposte no governo de dados estruturados e não estruturados e na sua classificação e proteção, através de soluções de DAM, DLP ou IRM.
Faça a gestão e armazenamento de Logs, eventos, incidentes e resposta automática utilizando soluções de SIEM e SOAR.

Para concluir, deve ser dada especial atenção à existência de serviços de pen testing continuados, permitindo auferir o estado de cibersegurança de serviços e sites expostos, infraestrutura (Lan/Wifi) e aplicações móveis de uma forma regular ou on-demand.

Uma aposta segura

Com o crescimento dos ciberataques e com o aumento da sua complexidade, empresas e organizações devem fazer da cibersegurança uma prioridade e um tema na agenda de todos os colaboradores e stakeholders.

Aposte numa estratégia de segurança focada em pessoas, processos e tecnologia de modo a garantir uma maior proteção em caso do ataque. E, se precisar de ajuda, fale connosco! A equipa da Oramix conta com mais de 20 anos de experiência na definição e implementação de estratégias de cibersegurança.

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.

Necessary

Sempre activado

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Duração	Descrição
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Functional

Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.

Cookie	Duração	Descrição
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.

Performance

Analytics

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.

Cookie	Duração	Descrição
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.

Cookie	Duração	Descrição
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Others

Estratégia Executiva: 3 pilares da cibersegurança

Pessoas

Processos

Tecnologia

Uma aposta segura

Este website utiliza cookies