Add to collection(s) Add to saved
  1. No category
Uploaded by Francis Costalonga

Tanium RiscoCibernetico (1)

advertisement 
NEGÓCIOS & SEGURANÇA DA INFORMAÇÃO
ÍNDICE
3 - Risco Cibernético e Segurança:
os CISOs estão preparados para
essa aliança?
11 - A visão dos CISOs sobre o tema
EXECUTIVE REPORT - EXPEDIENTE
DIREÇÃO E EDIÇÃO EXECUTIVA
Graça Sermoud
gsermoud@conteudoeditorial.com.br
EDITORA
Leia Machado
lmachado@conteudoeditorial.com.br
DIREÇÃO DE MARKETING
Sérgio Sermoud
ssermoud@conteudoeditorial.com.br
DESIGN
Rafael Lisboa
rlisboa@conteudoeditorial.com.br
Esse conteúdo foi desenvolvido a partir do painel de debates realizado pela TVD
em 12 de abril de 2022, com oferecimento da Tanium. O vídeo na íntegra pode ser
acessado no botão abaixo:
ASSISTA AO PAINEL NA ÍNTEGRA
Risco Cibernético e
Segurança: os CISOs
estão preparados
para essa aliança?
3 EXECUTIVE REPORT
RISCO CIBERNÉTICO E SEGURANÇA >> TANIUM
Líderes da Energisa, Grupo Boticário, Riachuelo e
Oiti debatem sobre o que priorizar, como gerenciar
e mitigar riscos cibernéticos. Para eles, trata-se de
um trabalho colaborativo entre equipes e uma
relação de confiança com a alta direção
O relatório anual do Fórum Econômico Mundial (WEF) destacou,
no início desse ano, quatro áreas de risco emergente: segurança
cibernética, transição climática desordenada, pressões migratórias
e competição no espaço. Para evitar danos irreversíveis e garantir
uma transformação de negócios bem-sucedida, as lideranças do
WEF chamam atenção para a importância do fortalecimento de medidas de proteção do ciberespaço e reforça que os riscos cibernéticos são agora riscos de negócio.
Os quase 1.000 líderes entrevistados para o Global Risks Report 2022 apontam que existe uma falha de Segurança Cibernética e isso está entre os 10 principais riscos que mais se agravam
desde o início da crise do COVID-19. Inteligência artificial, exploração do espaço, ciberataques além das fronteiras e desinformação são algumas das áreas em que a maioria dos entrevistados
acredita que o estado atual dos esforços de mitigação de risco
está aquém do desafio.
EXECUTIVE REPORT 4
De acordo com o relatório, à medida em que a sociedade continua a migrar para o mundo digital, incluindo o trabalho remoto e o
avanço de tecnologias atuando em conjunto, ampliam as superfícies
de ataques devido à imensidão de dispositivos conectados. Esse
cenário traz grandes avanços, mas também abre espaço para uma
alta significativa de ataques cibernéticos, custando às organizações
dezenas ou até centenas de milhões de dólares.
Os custos não são apenas financeiros: infraestrutura crítica, coesão social e bem-estar mental também estão em risco. Isso demonstra ainda mais a importância de uma atuação conjunta entre as áreas de Segurança da Informação e as equipes de Gestão de Risco,
principalmente os cibernéticos. Durante muito tempo foi debatido
na comunidade de profissionais de SI o quanto essas duas equipes
precisavam estar interligadas e os constantes ataques demonstram
que não é mais possível adiar essa integração.
O que priorizar?
Na visão de líderes da Energisa, Grupo Boticário, Riachuelo e
Oiti, é preciso traçar estratégias para um trabalho mais colaborativo
e entender que gestão de risco cibernético passa hoje por três importantes etapas: priorização, gerenciamento e mitigação. “É uma
dor de cabeça priorizar o risco, mas é uma atividade que está na
lista dos TOP 5 da Segurança”, destaca Leonardo Ovídio, CISO da
Energisa, durante painel de debates promovido pela TVD em parceria com a Tanium.
5 EXECUTIVE REPORT
RISCO CIBERNÉTICO E SEGURANÇA >> TANIUM
Mas antes de priorizar, Ovídio acrescenta que se deve primeiro
conhecer o negócio da empresa, o setor de atuação, como os colaboradores se comportam e qual é o apetite ao risco de acordo com
as demandas e estratégias da companhia. “A partir desse mapeamento teremos condições de identificar os riscos mais pertinentes e
partir para um plano de priorização”, reflete o executivo.
Esse processo está alinhado com o ponto central da discussão
do painel, pautado principalmente em analisar o quanto o CISO está
preparado para uma aliança junto às equipes de risco. Para Rodrigo Godoi, Head de Segurança Cibernética da Riachuelo, os ataques
cibernéticos que impactaram várias empresas do setor de Varejo
nos últimos meses, além da própria regulamentação da LGPD, fizeram com que a alta direção colocasse na lista de prioridades esse
trabalho em conjunto das áreas de Segurança e Risco.
“O ato da priorização não é uma decisão somente do CISO,
devemos envolver as áreas de negócio pois se trata de uma ação
conjunta. Quando colocamos risco cibernético na mesma esteira do
risco corporativo, deixamos a alta direção envolvida com o que é
mais importante priorizar”, diz Godoi. “Ou seja, traduzimos para o
negócio os principais pontos de atenção e temos mais clareza para
identificar os GAPs e desenhar melhor o mapa de risco”, acrescenta
Marco Túlio, CISO da Oiti.
EXECUTIVE REPORT 6
Como gerenciar?
A conformidade foi outro ponto levantado pelos líderes presentes no debate. Para Leonardo Ovídio, é preciso atenção redobrada
para não confundir maturidade em Segurança com conformidade e
gestão de risco. O processo de priorização deve considerar o cenário regulatório em que a empresa está inserida e adicionar essas
demandas no ecossistema de gerenciamento.
A Lei Geral de Proteção de Dados trouxe luz para esse trabalho
conjunto entre equipes, exigindo não só colaboração entre as áreas, mas também visibilidade e controle das ações. Ou seja, é uma
trajetória que virou uma verdadeira máquina com engrenagens
que atuam juntas: o CISO precisa ter visibilidade completa dos
principais ativos distribuídos em ambientes distintos, ao mesmo
tempo, entender que o cenário hoje é complexo devido à agilidade da inovação e, em meio disso tudo, é preciso atender aos
requisitos de conformidade.
De fato, são muitas questões a serem endereçadas e é por isso
que os líderes destacam a importância das alianças entre as áreas
para uma gestão eficaz do risco. “Temos de um lado a Segurança
da Informação com muito conhecimento técnico dos riscos cibernéticos. Do outro, um padrão de conformidade sendo exigido que
muitas vezes não conversa com a realidade da empresa, gerando
conflitos de priorização e gerenciamento”, reflete Marcelo Miola,
Diretor de Segurança da Informação no Grupo Boticário.
7 EXECUTIVE REPORT
RISCO CIBERNÉTICO E SEGURANÇA >> TANIUM
O executivo chama atenção para a gestão eficaz pautada em
automação e inteligência, especialmente em um cenário complexo de riscos, com envolvimento de outros fatores como terceiros e
a própria conformidade com regulamentações. “A agilidade da
digitalização trouxe um aspecto negativo, que é a falta de profundidade das análises e de processos que envolvem a gestão do
risco. Isso pode resultar em um gerenciamento conflituoso entre os
times”, alerta Miola.
“Em muitos casos, a conformidade tira a nossa visão do real risco
cibernético, isso porque existe uma grande preocupação em atuar de acordo com as regulamentações, mas nem sempre significa
que estar conforme é estar seguro”, acrescenta Ovídio. Segundo o
executivo, para resolver essas questões e gerenciar melhor todo o
ecossistema, é preciso dividir o risco em três cadeiras: uma para a
área de cyber, com uma visão da parte técnica, cruzando também
com a tecnologia; uma cadeira para o risco corporativo; e a outra
para o operacional, com uma visão mais cross correlacionando as
demais áreas.
EXECUTIVE REPORT 8
Esse equilíbrio no gerenciamento olhando todos os pilares estratégicos se traduz em um trabalho mais colaborativo. Na visão
dos líderes que participaram do debate, o CISO não precisa ser um
super-herói, mas sim engajar outras áreas, estando mais próximo do
negócio e ampliando a visibilidade dos principais ativos que precisam de proteção.
Para Felipe Nascimento, Diretor de Engenharia de Soluções para
LATAM da Tanium, tudo começa na visibilidade, principalmente diante do mundo moderno da tecnologia, com uma diversidade de endpoints, jornadas para a cloud e ambientes híbridos. “Esse cenário
dinâmico não permite mais uma atuação sem visibilidade, eu não
posso proteger o que não vejo. É preciso ressignificar a Segurança
e a gestão de riscos com foco nessa premissa”, destaca o executivo.
Como mitigar?
Com tudo mapeado, priorizado e gerenciado, tem a última etapa dessa jornada: a mitigação. Marco Túlio chama atenção que
nem sempre as empresas irão conseguir mitigar todos os riscos, pois
alguns já são calculados de acordo com o apetite da companhia.
“Existem alguns riscos que nós aceitamos, outros transferimos para
terceiros ou outras áreas. Mas o que importa no final do dia é contar
com um ciclo ágil de detecção e resposta”, diz.
Para os líderes, é fundamental adicionar nessa equação a Cyber
Higiene da Segurança, com processos pautados na proteção, na
visibilidade e nas atualizações. “A complexidade do cotidiano exige
uma série de indicadores e às vezes temos pontos cegos nos controles, isso é importante ter em mente, pois não tem como mitigar tudo,
seja por questões de custo ou processos”, pontua Rodrigo Godoi.
9 EXECUTIVE REPORT
RISCO CIBERNÉTICO E SEGURANÇA >> TANIUM
Reduzir a superfície de ataques, com gerenciamento correto de
patches, atualizações e correções de vulnerabilidades também foram pontos abordados durante a discussão para mitigar os riscos.
“As ferramentas que estamos acostumados a usar não comportam
mais o cenário complexo da Segurança hoje. Existem maneiras de
obter visibilidade total para melhor controle, gestão e mitigação,
mesmo em ambientes híbridos com máquinas espalhadas em vários
ambientes ou em multiclouds”, completa Felipe Nascimento.
Ele acrescenta que é possível sair do caos e contar com a clareza dos controles de gerenciamento unificado dos riscos. Organizações em todos os setores foram forçadas a quebrar paradigmas
e colocar quase 100% da empresa trabalhando de casa por quase
dois anos de pandemia. As lacunas críticas de visibilidade estão
por toda parte e podem aumentar seriamente o risco de segurança
cibernética.
“Felizmente, a tecnologia também evoluiu e é possível obter visibilidade e controle sobre o ambiente operacional, além de aplicar políticas e manter a higiene básica de TI. Com isso, teremos
condições de priorizar o que é mais importante, gerenciar os riscos
identificados e mitigar aqueles que podem impactar o negócio”,
conclui Nascimento.
EXECUTIVE REPORT 10
Risco Cibernético e Segurança na visão dos CISOs
“Para conhecer o risco, é preciso entender do negócio, da área de atuação
da empresa e como todos se comportam internamente, inclusive com parceiros
e terceiros”
Leonardo Ovídio, CISO da Energisa
“O que não pode faltar nessa fórmula é um trabalho em conjunto entre as
equipes com o máximo possível de automação e inteligência”
Marcelo Miola, Diretor de Segurança da Informação no Grupo Boticário
“É um trabalho colaborativo entre as equipes e a alta direção. Até porque, o
tema é de extrema importância para todos que atuam com SI”
Marco Túlio, CISO da Oiti
“Quando você coloca risco cibernético na mesma esteira de risco corporativo, praticamos um processo de transparência e clareza para a alta direção
fazer parte de todo o processo”
Rodrigo Godoi, Head de Segurança Cibernética da Riachuelo
11 EXECUTIVE REPORT
Related documents
5 PROBLEMAS DE TI NA SUA EMPRESA
5 PROBLEMAS DE TI NA SUA EMPRESA
Gestão de Casos de Uso de Detecção de Ameaças utilizando MISP (1)
Gestão de Casos de Uso de Detecção de Ameaças utilizando MISP (1)
Digital Forensic Readiness
Digital Forensic Readiness
Pentest-Web-DECSTORE
Pentest-Web-DECSTORE
Apresentação Estágio
Apresentação Estágio
oiti
oiti
Download
advertisement