Como os CISO alinham as despesas de segurança com o negócio

Concentrar-se em aplicações, dados e processos críticos para o negócio pode reduzir os riscos de segurança e poupar dinheiro.

Por Robert Scheier

A Gartner prevê que as despesas com produtos e serviços de segurança da informação e gestão de riscos cresçam 11,3% este ano, para mais de 188,3 mil milhões de dólares. Mas, apesar do aumento, já se registaram pelo menos 13 grandes incidentes de segurança, incluindo na Apple, Meta e Twitter. Para melhor direcionar as despesas de segurança, alguns diretores de segurança da informação (CISO) estão a deslocar as suas avaliações de risco para os dados, aplicações e processos que mantêm a empresa a funcionar.

Olhar para a segurança de uma perspetiva puramente técnica revela por vezes um instinto de rebanho: como alguns CISO utilizam uma nova ferramenta, outros também a querem, diz David Christensen, VP e CISO do fornecedor de software PlanSource. “Mas a realidade é que a nova solução de segurança mais popular ou conhecida muitas vezes desperdiça dinheiro e atrasa a empresa, especialmente se não estiver alinhada com os objetivos comerciais. E mesmo que ajude a proteger parte do negócio, pode não ser a parte da organização ou dos processos que apresenta o maior risco ou é a mais importante.”

Uma ferramenta de segurança não é suficiente

Don Pecha, CISO do fornecedor de serviços geridos FNTS, concorda com esta avaliação, acrescentando: “Cada unidade de negócio pode ter requisitos únicos e aplicações específicas para conformidade, regulamentação ou proteção de dados, e cada negócio pode ter riscos únicos a considerar.”

Frank Kim, CISO da empresa de capital de risco YL Ventures e membro do SANS Institute, conta o caso de um CISO que foi despedido depois de ter proposto controlos de endpoint dispendiosos e programas de resposta a incidentes e de resposta a incidentes. Estes não eram adequados para uma start-up. “O foco estava na sobrevivência e no crescimento das receitas”, diz Kim. “O CISO não se apercebeu de que a sua função era propor um novo conjunto de funcionalidades de segurança e apoiar a empresa.”

Alinhar as despesas de segurança com os objetivos da empresa

O alinhamento da segurança com os objetivos da empresa vai além dos métodos tradicionais de justificação das despesas com a segurança, incluindo o aviso de invasões ou a tentativa de provar o ROI, respetivamente. Kim aconselha as equipas de segurança interna das empresas a aceitarem que a segurança é um centro de custos.

Devem também demonstrar como o CISO gere o custo total de propriedade. Isto pode incluir educar os CFO e os CEO sobre reduções de custos específicas, como gastos com um serviço de segurança, encontrar um produto de custo mais baixo ou o custo médio de remediar uma vulnerabilidade, acrescenta Tyson Kopczynski, SVP e CISO da empresa de serviços financeiros Oportun.

Demonstrar os custos e benefícios da segurança

De acordo com o CISO Christensen, os gestores devem explicar como a segurança pode reduzir os custos ou aumentar a produtividade. Por exemplo, as firewalls de aplicações Web não só protegem as aplicações, como também reduzem os custos de rede ao reduzir o tráfego indesejado e malicioso. A adoção de arquiteturas de confiança zero e de tecnologias de ponta para serviços de acesso seguro também pode aumentar a produtividade, eliminando a necessidade de os utilizadores mexerem manualmente nas VPN.

Kopczynski diz que os CISO podem descobrir melhorias fazendo perguntas específicas:

  • A sua organização utiliza todas as funcionalidades de uma ferramenta de segurança?
  • essas funções sobrepõem-se a outras ferramentas?
  • e a organização está a pagar demasiado pelas licenças ou por demasiadas licenças?

Entre as formas de maximizar os benefícios estão as ferramentas que desempenham múltiplas funções de segurança. Além disso, os testes de penetração, as simulações de ataques ou as campanhas de segurança ofensivas podem ser utilizados para provar que uma ferramenta consegue afastar os ataques com grande eficácia. Por exemplo, Kopczynski utiliza o motor de encriptação da Titaniam para apoiar vários casos de utilização de proteção de dados. Além disso, existem ferramentas de segurança de fornecedores de nuvens como a Amazon e a Microsoft. “Também estamos a analisar soluções genéricas de segurança na nuvem que fornecem várias proteções, em vez de abordarem apenas um caso de utilização específico.”

A segurança como serviço gerido

Na agência de marketing global The Channel Company, as considerações de segurança estão profundamente integradas na estratégia de negócios e no orçamento, relata o CIO Rik Wright. Isto vai desde a necessidade de cumprir o RGPD da União Europeia até ao cumprimento dos requisitos de segurança dos clientes. A empresa utiliza o fornecedor de serviços geridos GreenPages tanto para a infraestrutura como para cumprir os seus requisitos de segurança. Wright diz que já viu empresas pagarem resgates de até 20 milhões de dólares por sistemas críticos de negócios após um ataque de ransomware. Por isso, diz ele, evitar essas perdas representa um valor muito real.

Compreender os requisitos empresariais

Alinhar as despesas de segurança com os requisitos da empresa começa por compreender o que é mais importante para a gestão de topo. Kim recomenda a utilização da fórmula típica de “risco = impacto x probabilidade” e a identificação dos processos e ativos com maior prioridade numa escala de 1 a 10. “As suas finanças podem ser um 10, enquanto os recursos humanos podem ser apenas um 7 porque não são um fator de diferenciação para o negócio.” A utilização de uma escala de classificação simples para o cálculo do risco ajuda a identificar as prioridades, diz ele.

As normas e os quadros também fornecem uma estrutura para a avaliação dos riscos, como o Quadro de Cibersegurança do NIST (Instituto Nacional de Normas e Tecnologia). “É suficientemente simples para que não seja necessário ser um perito em segurança para o compreender, mas melhora o nível de maturidade e ajuda a relacioná-lo com as partes interessadas da empresa”, refere Christensen. Além disso, diz ele, a estrutura baseia-se em normas da indústria e não nas opiniões do CISO, e é constantemente atualizada para refletir novos riscos.

Utilizar normas e quadros

Dependendo do setor, são adequadas diferentes estruturas de segurança. “Se eu trabalhasse numa agência governamental, utilizaria o NIST como guia”, diz Pecha. “Se for uma empresa global, utilize a família de normas ISO/IEC 27000.” Não é necessário ser certificado, diz ele, mas deve cumprir as normas e compreender os controlos para responder às necessidades de segurança dos seus parceiros e da sua própria organização.

Scott Reynolds, gestor sénior de segurança e engenharia de rede do fabricante Johns Manville, utiliza a norma ISA/IEC 62443 para criar um entendimento comum entre gestores empresariais, profissionais de segurança e fornecedores sobre termos como “zonas de ativos” que têm requisitos de segurança comuns. “Este processo também mostra que concordamos com o mesmo nível de risco para toda a zona, e não apenas para cada ativo individual”, afirma Reynolds. “O elo mais fraco da zona tem impacto em todos os ativos dentro da zona.”

Caso especial de referência de segurança

Vários CISO manifestaram ceticismo em relação à utilização de parâmetros de referência para comparar os seus gastos com a segurança. Isto porque as empresas definem os seus gastos com segurança de forma diferente ou têm requisitos diferentes para o nível de proteção. Afirmaram também que os parâmetros de referência muitas vezes não descrevem como e porquê as empresas afetam os seus orçamentos de segurança. Como resultado, as empresas utilizam os parâmetros de referência apenas como um guia aproximado para a orçamentação, baseando-se principalmente nas suas próprias avaliações de risco.

No entanto, Kim avisa os CISO para não recusarem pedidos de avaliação comparativa a nível executivo. “Não é irracional pedir um parâmetro de referência”, diz ele. Afinal de contas, um diretor financeiro não diria: “Não podemos comparar os nossos ganhos por ação com outros no sector.” Ele acredita que as referências devem ser fornecidas como parte de uma explicação mais ampla. Isto incluiria a comparação das despesas de segurança com outras empresas, os desafios que se colocam e a forma como o custo global da segurança é reduzido ao longo do tempo, afirmou.

Responsabilizar a direção

“Os CISO devem descrever as ameaças e os ataques atuais”, recomenda Pecha, “e identificar alternativas para os resolver”. Cabe então ao conselho de administração decidir o que é aceitável e o que precisa de ser feito para gerir o risco global para a empresa, diz ele. No fim de contas, só a direção de topo tem o poder de promover a mudança. Se for pedido a um executivo que aceite formalmente um risco comercial, ele ou ela pode muitas vezes ser persuadido a concordar com as despesas de segurança propostas. Nos casos em que Sokolovskiy insistiu nessa aprovação, “isso normalmente levou o departamento comercial a reduzir o risco, porque era da sua responsabilidade”.

Uma abordagem orientada para o negócio pode também promover os esforços das equipas de segurança e do negócio para identificar potenciais para aumentar a eficiência e poupar custos. Christensen chama a atenção para os sistemas e processos redundantes que podem ser eliminados com relativa facilidade.

Autores
Tags

Artigos relacionados

O seu comentário...

*

Top