Home > Gestão

5 conselhos para integrar a área de segurança às estratégias da TI

Segurança deve ser um um componente-chave dos roteiros e projetos da área de TI. Caminho para chegar lá, entretanto, tem diferentes complexidades

Bob Violino, CIO.com

11/07/2019 às 8h00

Foto: Shutterstock

A segurança da informação tornou-se uma parte tão integral da TI que, do ponto de vista organizacional, as duas estão se tornando praticamente indistinguíveis. Isso pode significar misturar departamentos, mudar as estruturas de liderança e incorporar a segurança no início do desenvolvimento do pipeline, entre outras táticas.

Cerca de dois terços das organizações dizem que a estratégia de segurança de TI e a estratégia de TI estão fortemente integradas, com a segurança sendo um componente-chave dos roteiros e projetos da área de TI, segundo a pesquisa Estado do CIO de 2019. Mas há mudanças a caminho. "Acho que veremos as estratégias de TI e segurança se unindo, mas de uma maneira diferente da que vimos nos anos anteriores", diz Nathan Wenzler, diretor sênior de segurança cibernética da Moss Adams, uma empresa de consultoria de segurança.

"Onde a segurança da informação tem sido considerada apenas um subconjunto do departamento de TI e onde as ferramentas de segurança como firewalls e filtros de spam são gerenciadas, agora está se tornando mais comum ver as equipes serem consideradas o que realmente são: funções de gerenciamento de risco", diz Wenzler.

Abaixo listamos cinco dicas sobre como integrar práticas de segurança em sua estratégia de TI.

Capacite o executivo de segurança máxima

Aproximar TI e segurança não deve significar retirar autoridade dos executivos de segurança; na verdade, eles deveriam receber mais participação no planejamento estratégico.

Na Park Place Technologies, um fornecedor de serviços de manutenção para hardware de armazenamento, servidor e rede, estratégia de TI e estratégia de segurança de TI está fortemente integrado e a liderança em segurança cibernética desempenha um papel fundamental, diz o CIO Michael Cantor. "Nosso diretor de segurança da informação tem um lugar na mesa para todas as discussões estratégicas, incluindo o ciclo orçamentário anual", diz Cantor. "Ele criou um roteiro de segurança de cinco anos, que incorpora metas para cada uma das funções de segurança para garantir que o progresso esperado seja feito durante o curso do ano".

Obtenha suporte dos executivos seniores

Quantas iniciativas saem dos trilhos devido à falta de apoio das pessoas mais graduadas da organização? A integração de TI e segurança pode enfrentar o mesmo destino. "Ganhe a aprovação do conselho, do C-level e das equipes de liderança", diz Joe Cardamone, diretor de privacidade da Haworth, uma empresa global de design e fabricação de móveis.

Mostrar os benefícios e conquistar a aceitação e o apoio da liderança ajuda a derrubar barreiras, diz Cardamone. Além disso, se os executivos seniores entenderem o valor da segurança, poderão estar mais inclinados a ver o valor da integração de TI e segurança. "Mostre como a segurança das informações pode viabilizar negócios, não apenas mais um obstáculo em um fluxo de trabalho", diz Cardamone.

Comunique-se com frequência e construa relacionamentos

A necessidade de uma boa comunicação entre as pessoas de TI e de segurança é vital para uma integração eficaz. Algo que é vivenciado pela Rosendin Electric. "O elemento humano é o maior risco enfrentado por qualquer organização de TI hoje", diz James McGibney, diretor senior de cibersegurança e compliance da companhia. “Uma campanha de phishing bem-sucedida pode facilmente levar a empresa a uma parada brusca. Para fornecer uma verdadeira defesa em profundidade, a TI e a segurança precisam trabalhar juntas para implementar soluções em toda a superfície de ataque, seja em soluções locais ou baseadas em nuvem.”

As equipes de TI e segurança precisam entender o que estão tentando realizar e por que isso é importante para a organização, diz Wenzler. "É fácil deixar as estratégias de risco desalinhadas com as metas de tecnologia quando os dois lados não falam uns com os outros", diz ele. "Enquanto funções separadas, elas são essenciais para o sucesso umas das outras, por isso, sem comunicação constante, elas permanecerão fora de sincronia".

Aproveite os padrões de segurança e use métricas comparáveis

As empresas que buscam integrar TI e segurança devem considerar o uso de uma estrutura de segurança padrão, como aquelas criadas pelo Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês) para definir metas para o ambiente de segurança. "Isso permite a criação de um roteiro de segurança que pode ser priorizado de forma eficaz e compartilhado com todas as funções para definir metas anuais", diz Cantor.

O uso de uma estrutura para padronizar as operações de segurança dentro de uma empresa garante que todos os aspectos da segurança sejam identificados e possam ser priorizados para as metas de risco e maturidade. Uma vez que uma empresa escolhe uma estrutura e implanta os vários elementos com base em como são aplicáveis à situação específica, “a empresa basicamente tem uma estratégia de segurança”, diz Cantor. "É muito raro que a segurança possa atingir um objetivo específico apenas dentro de sua própria função", diz Cantor. “Geralmente, é necessária uma combinação das outras funções para atingir uma meta de segurança, portanto, esse tipo de integração com a estratégia geral de TI é fundamental para o sucesso.”

Além das normas, as organizações de TI e de segurança devem procurar usar métricas comparáveis para que não haja confusão sobre as metas finais. Muitas vezes, as equipes de segurança começam a medir o risco ou até mesmo o sucesso de maneiras que não têm relevância para as equipes de TI ou funções operacionais, diz Wenzler. "Da mesma forma, as medições de tempo de atividade ou de suporte técnico podem abordar os pilares de integridade e disponibilidade para segurança, mas não abordam de maneira adequada os riscos", diz Wenzler. "Certifique-se de que todos entendam as métricas usadas e aproveitem métricas que possam revelar a redução de riscos por meio de melhorias tecnológicas."

Crie proteção de dados nas ofertas da empresa

Por fim, a integração efetiva de TI e segurança deve se estender aos produtos e serviços que uma empresa fornece a seus clientes e usa internamente - independentemente do setor. “Construir proteção de dados dentro de nossas ofertas de TI é fundamental”, diz McGibney. Por exemplo, quando um funcionário recebe um celular da empresa, ele é imediatamente registrado em um sistema unificado de gerenciamento de endpoints. Se os funcionários trouxerem seus próprios dispositivos, eles também deverão ser registrados ou os dispositivos não terão permissão para acessar nenhum recurso da empresa. "Com o advento feroz das campanhas de phishing, qualquer empresa corre o risco de um funcionário clicar em um link ofuscante, inserindo suas credenciais de login - e o resto é história", diz McGibney.

“O hacker não só tem acesso desenfreado à sua infraestrutura do Diretório Ativo; eles também têm acesso a seus processos e procedimentos. Isso, por sua vez, geralmente leva a ataques de phishing mais focados”.

Vale ressaltar que a internet das coisas (IoT) expande a superfície de ataque. "Tudo o que toca a internet se torna um potencial ponto de entrada para a empresa", diz McGibney. “Telefones, tablets, laptops, desktops, câmeras de segurança, controles de iluminação, termostatos, dispositivos de realidade virtual etc. Todos esses dispositivos precisam estar sob algum tipo de gerenciamento de correção e processo de gerenciamento de vulnerabilidades. "Hackers são indiscutivelmente algumas das pessoas mais inteligentes do mundo", diz McGibney. "Quando eles estão determinados e focados em se infiltrar em seu ambiente, eles usarão todos os meios necessários para atingir seus objetivos", alerta. “Se isso ocorre por meio de engenharia social ou de uma campanha de phishing, as empresas devem permanecer vigilantes e conscientes da segurança”.

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail