A cibersegurança tem sido uma grande preocupação para as organizações. Principalmente porque a pandemia de COVID-19 tem causado perturbações significativas. Afinal, as equipes de segurança já foram desafiadas a acompanhar mudanças nas ameaças, riscos, conformidade, negócios e cenários de TI.
Isso porque os dados estão sendo usados em mais lugares, para mais fins comerciais e por mais parceiros no ecossistema de negócios digitais. Formulários e APIs estão se expandindo para tornar mais acessíveis as funcionalidades de negócios. A nuvem torna aplicativos como e-mail e compartilhamento de conteúdo acessíveis a uma ampla gama de invasores.
O trabalho remoto também aumentou. Portanto, iniciativas de negócios digitais aceleradas criaram riscos adicionais. Por outro lado, a desaceleração faz com que as organizações procurem soluções mais econômicas.
O cenário de ameaças é variado:
- Violações de dados;
- Ransomware;
- Fraudes.
Contudo, é importante ressaltar que ataques de sabotagem visam todos os tipos de organizações. Embora os ataques direcionados sejam comuns, muitas organizações ainda são vítimas de ataques oportunistas. Então, visando construir e adaptar um planejamento de segurança, este o Guia de Planejamento divide a segurança em seis áreas de prática. Essas áreas de prática fornecem uma forma de agrupar controles que oferecem suporte a análises de ameaças fortes, seleção de ferramentas e processos arquitetônicos.
Os clientes estão em muitos níveis diferentes de maturidade de segurança. Por isso as considerações de planejamento para 2021 abrangem muitos controles de segurança dentro de cada prática. Cada prática, por sua vez, tem controles de higiene básica, como firewalls e gerenciamento de conformidade. Tal como opções mais avançadas, geralmente selecionadas com base no risco específico e na capacidade organizacional.
Novidades
Contudo, muitas das recomendações do ano passado permanecem para fornecer uma base sólida para construir a maturidade. Entretanto, 2021 trará maior exposição devido à:
- Expansão dos ecossistemas de negócios digitais (digitalização);
- Aumento do trabalho remoto;
- Adoção mais ampla de serviços de terceiros.
Portanto, as equipes de segurança precisarão de contribuições de diferentes áreas organizacionais para ajudar a construir um forte roteiro de segurança. As áreas significativamente melhoradas para 2021 incluem:
- Aumento do trabalho remoto;
- Migração para nuvem;
- Negócios digitais como resultado do COVID-19;
- Adaptação da detecção de ameaças e a resposta a incidentes para e em ambientes de nuvem;
- Redimensionamento da detecção de ameaças e resposta a incidentes para corresponder às capacidades de uma organização;
- Uso de casos de uso de negócios e TI mais detalhados para conduzir a arquitetura de segurança;
- Avaliação de controles de segurança nativos versus add-on em sistemas e aplicativos de TI modernos;
- Decisão entre a melhor arquitetura de solução de plataforma de segurança cibernética e unificada;
- Uso de política como código, bem como maior orquestração e automação para segurança.
Tendências por porte
As seções a seguir descrevem as seguintes tendências principais de gerenciamento de segurança e risco. Afinal, elas afetarão amplamente as organizações em muitos setores, áreas geográficas e tamanhos:
- Grandes mudanças nos negócios globais e na força de trabalho criarão um impacto imediato e duradouro no planejamento de segurança e risco;
- O monitoramento e a resposta de segurança continuarão a depender da automação e análises fornecidas por meio de habilidades internas e serviços gerenciados;
- Plataformas de segurança cibernética emergentes farão com que as organizações reconsiderem a arquitetura de segurança e arquitetura de solução;
- Containers, DevSecOps e nuvem distribuída continuarão a transformar a segurança da arquitetura de infraestrutura e gestão;
- A expansão dos ecossistemas de dados, análises e serviços de aplicativos irá cimentar a necessidade de uma arquitetura de segurança centrada em dados e segurança de aplicativos;
- Endpoints, dispositivos móveis e SaaS continuarão a impulsionar a expansão da segurança nativa, recursos e soluções complementares.
Contudo, a importância relativa de cada uma das tendências de segurança e gestão de risco, tal como suas considerações de planejamento relacionadas, dependerá da maturidade atual de uma organização em negócios digitais e TI, bem como sua postura de segurança.
Portanto, o foco, na verdade, está em aconselhar profissionais de segurança de TI, com forte inclinação para a arquitetura de segurança e práticas técnicas. Em particular, as seguintes áreas estão fora do escopo:
- Segurança específica da indústria e práticas e tecnologias de risco, como aquelas para OT e pagamentos eletrônicos;
- Práticas e tecnologias de auditoria e conformidade, bem como gestão integrada de riscos (IRM) em plataformas e ferramentas;
- Práticas e tecnologias de continuidade de negócios e recuperação de desastres (BC / DR).
Impactos no planejamento
Grandes mudanças nos negócios globais e na força de trabalho criarão um impacto duradouro nas tendências de segurança e risco. Contudo, de acordo com pesquisas do Gartner e feedback de clientes, a segurança continua sendo uma das principais preocupações para os negócios e líderes de TI. Portanto, são fundamentais para profissionais técnicos.
Porém, a incerteza permanece sobre como efetivamente cumprir com mandatos regulatórios que não são específicos sobre quais controles usar ou quais são as consequências de não cumprimento será.
Ao mesmo tempo, a pandemia de COVID-19 está criando mudanças imediatas e de longo prazo nas práticas de negócios e TI. E estas devem ser refletidas na avaliação de risco e segurança e planejamento de roteiro.
Portanto, um programa de segurança sustentável é fundamental. Afinal, fornece tomada de decisão de risco baseada em dados e tratamentos mensuráveis como resultado. Avaliações de risco atualizadas e as práticas de comunicação de risco são as forças motrizes para melhorar o estado atual.
Contudo, os profissionais técnicos devem estar preparados para revisar os padrões e processos a fim de atualizá-los com as mudanças recentes. É ocaso de trabalhar em casa e mudar cargas de trabalho para a nuvem, em relação à superfície de ataque. Violações de privacidade e dados ainda estão em alta. No entanto, ataques de sabotagem, extorsão e fraude também são prevalentes.
Ataques mais comuns
Ataques comuns incluem siegeware e ransomware, comprometimento de e-mail comercial e phishing e credenciais. Então, um desafio particular é o aumento da exposição a invasores causado pela mudança para serviços baseados em nuvem e cenários de trabalho em casa. Afinal, estes tornam usuários anteriormente protegidos por firewall em ativos mais expostos. Contudo, as tendências de segurança e gestão de risco mudaram.
Então, as equipes de segurança estão cientes de que precisam atuar como facilitadores de negócios. Contudo, muitas vezes permanecem excluídas desde o início de um projeto. Os clientes de segurança do Gartner estão trabalhando principalmente para resolver ameaças e riscos, e essa tendência está aumentando. Mas as pressões de tempo e recursos continuam a motivar alguns a seguirem o caminho mais fácil de manter listas de verificação de conformidade ao invés de implementar análise de risco eficaz e seleção de controle.
Avaliações de segurança de terceiros, que muitas vezes são impulsionados por requisitos de conformidade e gerenciamento de risco, estão se mostrando particularmente demorados. Contudo, até mesmo criar visibilidade no uso de serviços de terceiros é um desafio para muitas equipes de segurança.
Considerações de planejamento de segurança e gestão de risco
Portanto, é fundamental elevar o foco em trabalho remoto seguro e iniciativas de negócios digitais. Afinal, a pandemia de COVID-19 causou uma mudança significativa para os arranjos de trabalho em casa. Por outro lado, acelerou as iniciativas de negócios digitais de muitas organizações. Então, as equipes de segurança devem estar prontas para lidar com cronogramas abreviados para avaliações de risco e implantação. Ou seja, deve-se confiar tanto quanto possível em avaliações externas e vinculação aos controles existentes.
Então, mantenha-se em contato próximo com as equipes de TI, bem como equipes de negócios. Afinal, elas podem selecionar e integrar suas próprias soluções baseadas em nuvem. O trabalho remoto geralmente segue um padrão comum e, de uma perspectiva de planejamento, tem foco em áreas específicas:
- Acesso remoto, incluindo VPN e especialmente design de acesso à rede de confiança zero (ZTNA);
- Segurança de endpoint aprimorada para endpoints gerenciados e – se aplicável – propriedade pessoal;
- Arquitetura de gateway seguro da web (SWG) e corretores de segurança de acesso à nuvem (CASBs). Particularmente para levar em conta a escala e locais remotos;
- Segurança de plataformas de colaboração e soluções de teleconferência, especialmente se forem recentemente implantados.
- Recomendações sobre segurança de rede doméstica para funcionários, que não está sob o controle da organização, contudo desempenha um papel na postura geral de segurança
Iniciativas variadas
As iniciativas de negócios digitais serão ainda mais variadas. Contudo, as equipes de segurança podem cuidar de projetos com certos atributos. Processos de negócios digitalizados novos ou expandidos geralmente aumentam o risco de roubo de dados ou fraude. Já mais APIs e aplicativos de negócios digitais resultam em superfície de ataque adicional para exploits de aplicativos.
Compartilhamento ou coleta de dados, como para rastreamento COVID ou monitoramento de trabalho em casa, deve levantar questões de privacidade. Seções posteriores deste Guia de Planejamento discutem essas áreas em mais detalhes técnicos. Entretanto, uma consideração chave para o programa de segurança é a criação de casos de uso e modelos de ameaças que ajudam a decidir sobre a melhor arquitetura de controle.
Portanto, faça a triagem de áreas de risco de alta exposição e pratique a higiene básica de segurança. Afinal, estruturas de segurança, como ISO 27001 ou Instituto Nacional de Padrões e Tecnologia (NIST) e Estrutura de Gerenciamento de Risco (RMF) estão disponíveis para auxiliar as equipes de segurança a organizar suas atividades por um longo tempo. O NIST Cybersecurity Framework em particular tem sido notável em termos de interesse do cliente.
Sobre IRM
À medida que os ambientes de negócios, TI e ameaças se tornam mais complexos, o uso de tais estruturas são úteis para o planejamento de segurança e comunicação. Portanto, para conectar ameaças, riscos, ativos e processos para resultados de negócios, os clientes consideram cada vez mais o uso de informações e ferramentas de gerenciamento de risco (IRM).
Não à toa profissionais técnicos que reconhecem que a automação e a integração terão mais sucesso no gerenciamento de riscos e na garantia de eficácia mensurável.
No entanto, realizar avaliações aprofundadas de risco e lacunas é um processo demorado. E priorizando os ativos aparentemente de maior valor primeiro, as organizações podem inadvertidamente deixar a porta aberta para um resultados prejudiciais. Portanto, preste atenção específica a quaisquer usuários, aplicativos, sistemas e dados que são mais expostos. É o caso do e-mail baseado em nuvem.
Então, implemente uma higiene de segurança básica que forneça a defesa de linha de base esperada em quase qualquer organização, como vulnerabilidade e gerenciamento de identidade. Contudo, a higiene da segurança também envolve tentar otimizar a segurança e investimentos, aumentando a eficácia dos controles de segurança nativos e aprimorando as ferramentas de segurança adicionais.
Boas práticas na triagem de risco
As boas práticas de triagem de risco de alta exposição e higiene de segurança básica incluem:
- Construir um processo de gerenciamento de ativos confiável. Ou seja, sabendo o que você tem que proteger e quem é responsável por isso é um elemento-chave para muitos controles de segurança;
- Removendo os privilégios administrativos locais dos usuários em terminais e protegendo seu acesso a aplicativos de negócios mais confidenciais, incluindo e-mail;
- Implementando autenticação forte para todos os usuários privilegiados, como administradores de banco de dados (DBAs) e administradores de infraestrutura em nuvem e registrar suas atividade;
- Otimizando as opções de proteção contra phishing e malware em plataformas de proteção de endpoint (EPPs), gateways da web seguros (SWGs), gateways de e-mail seguros (SEGs) e outras tecnologias.
Então, não aceite cegamente os controles básicos apenas porque foram considerados eficazes no passado. Por exemplo, embora ainda seja necessário para fins de conformidade, a rotação periódica de senha de usuário tem eficácia questionável. Afinal, as senhas são frequentemente roubadas em vez de adivinhadas ou quebradas.
Portanto, a não ser que sejam exigidos pelos mandatos de conformidade, esses controles ineficazes devem ser evitados para criar espaço e orçamento para outros mais eficazes. É o caso de proteger os serviços de login de ataques de força bruta, por exemplo. Dentro da realidade, as práticas de conformidade também devem ser revistas. Contudo, esse é um processo lento, na melhor das hipóteses. Por isso é importante conhecer as novas tendências de segurança e gestão de risco. Afinal, só assim poderá se preparar e manter-se em conformidade.