Home > Gestão

Sem cibersegurança, não tem escala: 5 dicas para líderes arrumarem a casa

CISOs e consultores oferecem as seguintes dicas para organizar a sua operação de segurança. Um conselho? Você vai precisar de uma estratégia

Stacy Collett, CSO (EUA)

14/08/2019 às 11h59

Foto: Shutterstock

Em apenas seis meses, Eric Schlesinger, CISO da Polaris Alpha, assistiu a sua empresa saltar de 150 funcionários para 1.500 trabalhadores, depois que três empresas se fundiram e outras três foram adquiridas. O executivo enfrentou diversos desafios, começando por ser o principal alvo de ataques cibernéticos, já que a companhia fornece soluções de inteligência e segurança para clientes importantes, incluindo o governo federal dos Estados Unidos.

“Parte dessa rápida integração de TI vem com riscos inerentes. Quando tudo acontece tão rápido, às vezes a segurança não está necessariamente acompanhando o ritmo da TI”, diz Schlesinger. Como ele poderia levar seis empresas diferentes, com seis diferentes redes e equipes de segurança, e criar uma única função de segurança dedicada que pudesse ser parceira e escalável à medida que a rede Polaris Alpha fosse expandida?

Como a maioria das empresas de pequeno e médio porte, as companhias adquiridas dependiam de investimentos em ferramentas para sua segurança cibernética. Mas a integração de várias ferramentas de seis empresas não funcionaria.

"Percebemos desde cedo que as ferramentas eram apenas parte do investimento, mas não as que direcionavam nossa segurança", afirma Schlesinger. “Precisava ser baseado em pessoas, metodologias, força de trabalho e processos que nos permitissem escalar de 500 a 1.500 pessoas, e agora para as 15.000 pessoas que temos hoje com a Parsons nos adquirindo [em maio de 2019]."

Você precisa de uma estratégia

Schlesinger passou os primeiros meses focado nas novas organizações. Será que ele tinha as pessoas certas? Quais eram as ferramentas que estavam lá que poderiam ser reaproveitadas?

Em seguida, a equipe de segurança de rede integrada da empresa adotou um modelo padrão do Departamento de Defesa dos EUA (DoD) / Agência de Sistemas de Informação de Defesa (DISA) e o aplicou aos processos usados ​​pela companhia para defender sua rede corporativa. “Isso cria uma estrutura de força de trabalho que é clara sobre como esse ecossistema deve funcionar e dá aos indivíduos uma finalidade claramente definida, assim como procedimentos e fluxos de trabalho claramente definidos”, declara o executivo.

Apesar dessa grande fusão representar um caso extremo de escalonamento de uma organização de segurança, a maioria das empresas ainda precisa encontrar soluções de segurança rapidamente, e não apenas por conta de fusões e aquisições, inovação de novos negócios ou novas maneiras de interagir com os clientes.

“Estamos em um mundo altamente interconectado, com uma superfície de ataque vasta, em constante mudança, o que torna o escopo do que você está tentando fazer do ponto de vista cibernético crescente”, defende Emily Mossburg, diretora na Deloitte Risk and Financial Advisory.

CISOs e consultores de segurança oferecem as seguintes dicas para organizar a sua operação de segurança em escala.

1. Crie um 'ritmo de batalha'

A adoção do modelo do DoD criou um “ritmo de batalha” para a equipe de Schlesinger e transformou seu trabalho de reativo para proativo. O centro de operações de segurança conjunta (SOC) tem agora quatro "quadrantes" - Proteger, Detectar, Responder e Sustentar - com duas defesas de rede em tempo integral designadas para cada um.

- No quadrante Protect, os analistas lidam com avaliações de risco e gerenciamento de vulnerabilidades.

- Os analistas da equipe Detect procuram por indicadores de comprometimento por meio de alertas ou pela verificação manual de registros, procurando por comportamentos incomuns.

"Nos primeiros 15 minutos, se eles acreditam que é algo maior que precisa ser respondido, então eles enviam para a equipe do Respond", diz Schlesinger. O objetivo é elevar o compromisso da cadeia de segurança rapidamente para que a equipe do Detect possa continuar procurando por problemas adicionais - já que os criminosos costumam usar um ataque menor como uma tática de desvio de atenção. Responda aos analistas e, em seguida, tome todas as ações necessárias para interromper a ameaça.

Finalmente, os engenheiros da equipe de suporte dão base para essas três funções e garantem que todas as ferramentas e infraestrutura estejam em funcionamento.

É claro que todas as ferramentas de segurança tradicionais - proteção de terminais, detecção e prevenção de invasões, prevenção de perda de dados, firewalls tradicionais - estão sendo usadas, mas o investimento mais robusto feito por Schlesinger foi em sua ferramenta de gerenciamento de incidentes e eventos de segurança (SIEM) .

A Parsons adquiriu a Polaris Alpha em maio, e o novo modelo de defesa de rede está sendo adotado como parte da estrutura da força de trabalho dentro da equipe de segurança da Parsons. "A rede da Parsons é 10 vezes maior do que a da Polaris Alpha, mas por ter processos e metodologia sólidos, juntamente com as ferramentas certas, eu não preciso dobrar ou triplicar o tamanho da equipe", explica Schlesinger.

2. Enxugar o número de ferramentas

Kevin Richards foi o líder global em estratégia de segurança da Accenture quando ajudou a reorganizar as operações de segurança de uma empresa farmacêutica que adquiriu outra organização do setor.

Para Richards, a complexidade é inimiga da boa segurança. “Todos concordamos que não podemos ter três SIEMs e quatro antivírus e três produtos de gerenciamento de identidade diferentes”, mas cada organização tinha suas próprias preferências de fornecedor. "Queríamos algo comum, global, simples, então quando chegamos a dois ou três produtos concorrentes, acabamos entrando em uma sala e tivemos que escolher."

A equipe combinada eliminou quase 60% das ferramentas de segurança utilizadas. Um grande benefício: a redução de ferramentas liberou mais de US$ 1 milhão em soluções redudantes.

3. Redirecionar pessoas

Como parte da aquisição, a empresa farmacêutica-mãe criou uma nova hierarquia que se alinharia melhor ao novo negócio, o que gerou novas áreas de produtos. Também deu a Richards a oportunidade de renovar a equipe de segurança. “Todos foram aproveitados, mas não necessariamente no mesmo papel”, afirma Richards. Por exemplo, “não precisávamos de dois chefes de SecOps, então um assumiu um papel de arquitetura e um assumiu mais uma função operacional."

Eles também criaram algumas novas funções, incluindo um líder em inovação cibernética “que brinca com novas tecnologias e descobre como podemos alavancar as novas operações”, revela Richards. Além disso, com a expansão de sua presença globalmente, a companhia desenvolveu uma nova posição para lidar com as questões regulatórias “para ter uma melhor compreensão de todos os novos requisitos de regulamentação de privacidade e proteção de dados em todo o mundo.”

4. Considerar a terceirização

Muitas vezes as demandas por segurança cibernética superam os recursos disponíveis nas organizações. Essas empresas devem considerar novas formas de fechar lacunas de segurança, incluindo fornecedores terceirizados, defende Mossburg.

“Assim como muitas organizações decidiram que não queriam necessariamente manter todas as suas redes e infraestrutura, acho que estamos começando a ver o mesmo despertar em torno do cyber”, acrescenta.

Uma pesquisa da Deloitte de 2019 mostra que as empresas estão dispostas a confiar em terceiros para ajudar a solucionar suas falhas de segurança. Quase dois terços dos CISOs (65%) terceirizaram 21-30% de suas operações cibernéticas. De acordo com o levantamento, as principais funções terceirizadas incluem gerenciamento de vulnerabilidades, como busca por ameaças e inteligência sobre ameaças, treinamento e conscientização, detecção de ameaças internas e segurança de aplicativos.

Muitas organizações precisam de ajuda, segundo o relatório. Assim, para desenvolver um programa completo de segurança cibernética, as companhias devem se associar a fornecedores, associações industriais, agências governamentais, instituições acadêmicas, pesquisadores e outros parceiros de negócios.

5. Envolver toda a organização

Para detectar e impedir os ataques cibernéticos, a empresa de segurança precisa de toda a equipe envolvida no projeto. "Não pode operar por si só educar, treinar e promover conscientização e algum nível de responsabilidade relacionado a esses riscos fora dos limites da organização."

Todas essas etapas exigem um relacionamento saudável entre segurança e negócios, diz Schlesinger. “Às vezes você tem que isolar a equipe porque eles estão lidando com informações confidenciais, mas somos uma organização de atendimento ao cliente. Nós não queremos apenas dizer não, mas educar as pessoas e apoiar as necessidades do negócio”, acrescenta. “Ferramentas vêm e vão. Invista nas pessoas."

 

 

Tags
Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail