Pesquisas recentes do Gartner líder mundial em pesquisa e aconselhamento para empresas, têm mostrado que o crescimento acelerado das organizações, com a adoção de novas plataformas de vendas on-line, aplicações em Nuvem e descentralização das infraestruturas de TI, tem colocado os líderes de segurança e gestão de riscos diante de novas necessidades de segurança cibernética. Nesse contexto, os Chief Information and Security Officers (CISOs) estão diante de uma realidade cada vez mais complexa, que precisa adequar a gestão das ameaças e a demanda contínua de evolução dos negócios.
“Líderes de segurança e gestão de risco são constantemente bombardeados com a manutenção de ações de segurança já existentes e com a apresentação de novas demandas e projetos”, diz
Brian Reed, Analista Sênior do Gartner. “Como prioridade para novos projetos de segurança, concentre-se nas iniciativas que possam gerar alto grau de impacto nos negócios e que tenham a capacidade de reduzir uma grande quantidade de riscos”.
Para apoiar essa jornada, o Gartner identificou as 10 principais prioridades para novos projetos de segurança para organizações que já adotaram todas as medidas básicas de segurança.
Projeto 1: Gerenciamento de Acesso Privilegiado (PAM - Privileged Access Management, em inglês) - Contas privilegiadas (ou contas administrativas com alto poder de controle) são alvos atraentes para os invasores. Um projeto de Gerenciamento de Acesso Privilegiado destacará os controles necessários a serem aplicados para proteger essas contas, que devem ser priorizadas por meio de uma abordagem baseada em risco. Os projetos de PAM devem abranger contas de sistemas humanos e não-humanos e apoiar uma combinação de ambientes locais, em ambientes baseados em Nuvem e híbridos, bem como APIs para automação.
Projeto 2: Gerenciamento de Vulnerabilidades inspirado na análise de riscos (CARTA - Continuous Adaptive Risk and Trust Management, em inglês) - As equipes de segurança não podem lidar com a enorme quantidade de vulnerabilidades e não podem corrigir tudo. Portanto, as lideranças devem se concentrar em uma abordagem de “segurança adaptativa e contínua” (
CARTA), adaptável, em todos lugares, o tempo todo. Isso exige que os Chief Information and Secutity Officers (CISOs) estabeleçam o valor de negócios dos ativos de TI, conforme acordado entre os participantes do negócio, e os riscos associados a eles para enfatizar a importância de se concentrar nesses ativos. Além disso, as organizações devem entender a topologia de rede e quaisquer alterações na infraestrutura de TI.
Projeto 3: Detecção e resposta - Opções perfeitas de proteção não existem, mas os CISOs devem considerar projetos de detecção e resposta. Faça algumas perguntas: Como os dados são coletados e armazenados para suportar os recursos de detecção e resposta? A tecnologia tem uma ampla variedade de recursos de detecção e resposta, ou capacidade de utilizar indicadores de comprometimento? Se a organização já tiver uma plataforma de proteção de
Endpoints, considere essa plataforma como uma opção para fornecer detecção e resposta. Para uma abordagem de serviços de segurança gerenciados, pense em um projeto que forneça informações a um provedor gerenciado. Certifique-se de testar completamente qualquer fornecedor que alega ter Inteligência Artificial (IA) ou capacidade de Aprendizado de Máquina.
Projeto 4: Determinar um Agente de Segurança de Acesso à Nuvem (CASB – Cloud Access Security Broker, em inglês) - Os Agentes de Segurança de Acesso à Nuvem fornecem um ponto de controle para a visibilidade e o gerenciamento para organizações que adotaram vários aplicativos de Software como Serviço (SaaS). O Gartner indica que as companhias devem justificar esse tipo de projeto começando com a descoberta de aplicações em Nuvem para monitorar a infraestrutura de TI. É preciso avaliar se a organização tem controle e visibilidade de dados confidenciais usados ??e compartilhados pelos aplicativos SaaS. Outro ponto é determinar qual é o nível de visibilidade e controle necessário para cada serviço baseado em Nuvem. Participe de contratos de curto prazo com foco na descoberta e proteção de dados confidenciais.
Projeto 5: Gerenciamento de postura de segurança na nuvem (CSPM – Cloud Security Posture Management, em inglês) - Embora os serviços Cloud ofereçam altos níveis de automação e autoatendimento para os usuários, quase todos os
ataques em Nuvem são resultados de erros de configuração, erros de gerenciamento e erros dos clientes. É importante considerar, portanto, os processos e ferramentas de Gerenciamento de Postura de Segurança para mitigar os riscos das aplicações alocadas nos ambientes em Nuvem. Se a empresa usar apenas uma plataforma de infraestrutura como serviço, é necessário verificar se esse provedor possui opções de CSPMs. Caso contrário, verifique se o provedor suporta as várias aplicações em Nuvem que a empresa está usando. As opções de CSPM baseadas em Cloud poderão fazer alterações automatizadas com base em descobertas de avaliação, mas se a empresa já estiver usando um CASB, os líderes de mercado já terão opções CSPM bem desenvolvidas.
Projeto 6: Comprometimento com os e-mails comerciais - Um projeto de comprometimento com os e-mails comerciais pode ajudar os líderes de segurança e gestão de risco a lidar com ataques de
phishing e processos de negócios mal definidos. Esses projetos se concentram em controles técnicos, além de falhas de processos específicos da organização. Opções personalizáveis ??de Aprendizado de Máquina podem ser integradas aos sistemas de segurança de e-mail atuais, e os líderes de segurança e gestão de risco podem procurar fornecedores de segurança de e-mail específicos que ofereçam controles e integrem o projeto com treinamento de segurança e outras proteções de
Endpoint.
Projeto 7: Descoberta de dados obscuros - Antes de empreender a consolidação do data center ou a migração para ambientes em Nuvem, os líderes devem iniciar a descoberta de dados obscuros. Estes são os dados que oferecem baixo valor e risco desconhecido. A redução da área de cobertura de dados desconhecida pela organização não apenas reduz o risco de segurança, mas também reduz a exposição ao risco de sanções impostas pelas regulamentações de proteção de dados. O Gartner aconselha que os líderes avaliem os dados que residem em silos específicos (por exemplo, compartilhamentos de arquivos, bancos de dados, Big Data e repositórios em Nuvem). É indicado, ainda, que as companhias se concentrem em fornecedores com amplo suporte a repositório de dados para todos os sistemas em que dados confidenciais são armazenados.
Projeto 8: Relatório de Incidente de Segurança - Incidentes de segurança exigem planejamento, preparação e resposta adequada. Este projeto pode se concentrar em atualizar os planos existentes ou reformular completamente as respostas a cada acontecimento. As organizações devem avaliar seu nível atual de resposta e em quais pontos o plano de ações poderia ser melhorado. Considere um retentor de resposta a incidentes de um provedor que ofereça a flexibilidade necessária para tratar de tarefas proativas e reativas.
Projeto 9: Implementar melhorias na Segurança de Contêineres - Os desenvolvedores estão usando cada vez mais os contêineres do Linux para impulsionar recursos de negócios digitais por meio do desenvolvimento mais rápido de aplicações. Cada um desses contêineres, no entanto, deve ser examinado em busca de vulnerabilidades e problemas, antes de ser colocado em produção. A segurança dos contêineres deve se integrar às ferramentas comuns de desenvolvimento e ao pipeline de operação e ser usada com APIs abrangentes para suportar uma variedade de ferramentas de segurança. O Gartner avalia que um caminho é começar analisando vulnerabilidades conhecidas e problemas de configuração e, em seguida, estender essa estratégia para a produção e execução. As soluções mais avançadas podem criar uma "lista de materiais" detalhada para cada contêiner e compará-las ao que realmente está sendo usado em tempo de execução para recomendar onde as bibliotecas e o código podem ser removidos.
Projeto 10: Serviços de classificação de segurança (SRS - Security Rating Services, em inglês) - À medida que os ecossistemas digitais aumentam em complexidade, os riscos de segurança também aumentam. Além de segurança interna e riscos, os líderes devem considerar fornecedores, reguladores, clientes, parceiros de negócios e plataformas. Aproveite os serviços de classificação de segurança para fornecer pontuações contínuas e independentes em tempo real e de baixo custo para seu ecossistema digital geral. Isso só deve ser usado como um complemento - não é uma visão completa, mas esses serviços são inovações importantes. Avalie vários fornecedores em relação a seus requisitos e assegure-se de que os serviços de classificação de segurança sejam usados como parte dos critérios de seleção.
Pesquisas completas sobre estes e outros temas serão apresentadas durante a
Conferência Gartner Segurança e Gestão de Risco 2019, que acontece nos dias 13 e 14 de agosto, em São Paulo. Considerado um dos principais encontros corporativos da América Latina, o evento reunirá analistas e especialistas do mercado para apresentar o cenário de segurança digital e como os líderes podem avançar em suas estratégias de proteção e gerenciamento de riscos.
A ABES apoia institucionalmente o evento e os associados têm um desconto de R$ 550,00 no valor da inscrição, usando o código promocional BRSABS, no site do evento:
http://www.gartner.com/pt-br/conferences/la/security-risk-management-brazil.