Finalmente, foi-lhe atribuído o orçamento de segurança cibernética pelo qual fez um grande esforço, mas onde o gasta? Como qualquer orçamento, é importante escolher as áreas que mais "bang for your buck". Uma análise cuidadosa do que está a acontecer no panorama da segurança do ciber-segurança ajudará a tomar a decisão correcta sobre as despesas de segurança.
Aqui está o guia da MetaCompliance sobre onde gastar o seu orçamento de segurança cibernética.
Áreas de topo para gastar o seu orçamento de segurança cibernética
De acordo com um relatório da McKinsey, os orçamentos têm sido apertados, mas em 2021, 70% dos CISOs pretendem pedir aumentos significativos no seu orçamento de segurança cibernética. Os ataques cibernéticos em empresas de todas as dimensões e em todos os sectores estão a levar a uma necessidade de bater as escotilhas e endurecer os nossos sistemas informáticos contra os hackers. A MetaCompliance analisou cinco áreas chave que são dignas de um orçamento de cibersegurança duramente conquistado:
Formação em Sensibilização para a Segurança e Formação em Phishing
A prevenção é menos dispendiosa do que a cura quando se trata dos danos que os ciberataques podem causar. Tomemos o resgate como um caso exemplar. O relatório Sophos "State of Ransomware 2021" descobriu que o custo da reparação de um ataque de resgate duplicou nos últimos 12 meses para, em média, $1,85 milhões de dólares.
O Ransomware é frequentemente entregue através de e-mails de phishing. Um relatório de 2021 da Egress concorda em salientar que 95% dos líderes de TI acreditam que os dados estão em risco a partir do canal de correio electrónico. O relatório assinala também que 83% das organizações sofreram uma violação de dados via correio electrónico nos últimos 12 meses, com 24% das violações causadas por um funcionário a partilhar dados por engano. O humano na máquina é um ponto de risco que deve ser tratado com urgência.
A formação dos funcionários de toda a organização em questões de segurança cibernética, incluindo considerações de privacidade, é um passo fundamental para reduzir o risco de segurança cibernética. A formação de sensibilização para a segurança pode ser adaptada ao perfil da sua empresa. Os empregados que caem em armadilhas de phishing também podem ser abordados utilizando programas especializados de formação anti-phishing que ensinam os empregados a pensar antes de clicarem num anexo ou ligação maliciosa.
Governação, Risco e Cumprimento
A protecção de dados é rigorosa e o cumprimento desses regulamentos requer muito tempo e custos de recursos. Os regulamentos necessitam frequentemente de ajuda especializada para assegurar que os requisitos são cumpridos correctamente. O impacto do incumprimento é dispendioso, não só em termos de multas onerosas, mas também em termos de perda de confiança dos clientes e danos à reputação.
A ajuda de empresas especializadas com as competências necessárias para avaliar as suas necessidades de conformidade pode tornar este processo mais fácil. Os consultores de conformidade podem certificar-se de que a sua organização cumpre os regulamentos e normas e ajudar a sua organização a colmatar quaisquer lacunas nos requisitos de conformidade.
Ferramentas e Medidas de Segurança
Ter os instrumentos de segurança adequados é uma área essencial de despesas do orçamento de segurança cibernética. Mas deverá externalizar a gestão da segurança ou implementar e manter essas medidas internamente? A resposta depende do seu nível de habilidade na utilização de medidas de segurança modernas, algumas das quais são inteligentes e podem exigir conhecimentos especializados para configurar e interpretar.
Outra consideração é em que tipo de medida de segurança se deve gastar o orçamento da segurança cibernética. Esta decisão depende do seu sector industrial e de outras considerações, tais como necessidades de trabalho remoto e interacções com terceiros e dados dos consumidores. Mas como regra geral, o orçamento de segurança cibernética deve ser considerado nas seguintes áreas:
- Gestão de Identidade e Acesso (IAM): O roubo de credenciais e o recheio de credenciais (onde os infractores tentam invadir contas usando credenciais roubadas) são um grande problema de segurança cibernética. As credenciais roubadas permitem que os autores de fraudes roubem grandes quantidades de dados. O compromisso de credenciais está por detrás de 61% das violações de acordo com o Relatório de Investigação de Violação de Dados da Verizon.
- Segurança de Confiança Zero: O princípio de "nunca confiar, verificar sempre" está por detrás da utilização da abordagem de Confiança Zero para a segurança.
- Segurança do ponto final: O trabalho remoto tem visto o número de endpoints, tais como dispositivos móveis, disparar. Cada endpoint é uma potencial porta de entrada para uma rede.
- Segurança das aplicações: 72% das organizações sofreram uma violação devido a uma vulnerabilidade de segurança das aplicações.
- Segurança nas nuvens: Um relatório da Gartner Inc., descobriu que, até 2025, 99% das falhas de segurança nas nuvens serão culpa do cliente. A Garter recomenda a utilização de políticas de governação e de monitorização para desarrolhar esta área.
Seguros Cibernéticos
Se o pior acontecer e a sua organização for infectada com um resgate, ou se o seu empregado for vítima de um roubo e a sua base de dados de clientes for pirateada, e assim por diante, o seguro cibernético pode ajudar a aliviar alguma da dor. O seguro cibernético normalmente cobre perdas decorrentes de danos de sistemas TI e perda de informação de sistemas e redes TI. Os custos dos ciber-seguros variam, mas algumas seguradoras oferecem prémios reduzidos se a sua organização puder mostrar que tem certas medidas de segurança em vigor, como por exemplo:
- Formação de sensibilização para a cibersegurança
- Conformidade com as normas de segurança e privacidade de dados da indústria, tais como ISO 27001
- Testes regulares de penetração dos seus sistemas e redes informáticas
Medições e KPIs (Indicadores-chave de desempenho)
Ser capaz de medir a eficácia das suas medidas de segurança é uma óptima forma de justificar as suas escolhas de despesa, ou de modificar orçamentos futuros. As métricas de segurança fornecem informações sobre a eficácia da sua postura de segurança, incluindo se as suas medidas de conformidade estão a funcionar. Estas métricas oferecem uma forma quantitativa de mostrar à direcção e aos membros do conselho como um programa de segurança de dados está a funcionar. Estas métricas podem também desempenhar um papel na documentação da abordagem da empresa à protecção de dados, em conformidade com os requisitos regulamentares. A análise dos KPIs e indicadores-chave de risco (KRIs) fornece uma visão da sua equipa e posição de segurança para que possa optimizar as medidas e abordagens.
Há vários KPIs chave que podem ser medidos, alguns exemplos que medem métricas de ameaça incluem:
- Incidentes de segurança
- Tempo Médio a Detectar (MTTD)
- Tempo médio a resolver (MTTR)
- Tempo Médio a Detectar (MTTD)
Gastar, Gastar, Gastar em Orçamentos de Segurança Cibernética
Com as despesas com a segurança previstas para ultrapassar 1 trilião de dólares globalmente até 2025, a optimização do seu orçamento de segurança cibernética é vital para evitar desperdícios. Pode já ter experiência de onde a sua organização está em maior risco, mas continue a pesquisar o panorama da segurança à medida que este muda. Ao ter um bom conhecimento do que está a acontecer em todo o sector e que tipo de ajuda está disponível para mitigar o risco cibernético, pode certificar-se de que o seu orçamento acordado lhe dá uma boa relação custo-benefício.
