Por que estabelecer benchmarks de segurança cibernética é uma obrigação para as organizações?

Recentemente, expressões como crime cibernético, criptografia e interceptação de dados, além de uma panóplia de termos estrangeiros como malware, rasonware, riskware, adware, pishing, backdoor e hoax se infiltraram no nosso vocabulário, deixando mesmo de ser um jargão estranho e desconhecido aos nossos ouvidos. De fato, a cartilha de segurança na era da internet é algo que hoje diz respeito a todos nós.

A União Internacional das Comunicações, agência da ONU especializada em tecnologias de informação e comunicação, define a segurança cibernética como sendo um conjunto de ferramentas, políticas, conceitos de segurança, salvaguardas de segurança, orientações, abordagens de gestão de risco, ações, treinamentos, práticas, seguros e tecnologias que podem ser usados para proteger o ambiente cibernético de uma organização ou de um país.

Segurança cibernética: sim, sabemos que se trata de algo importante. Mas engane-se quem pensa que essa aparente onipresença de que falávamos garante uma efetiva preocupação com este assunto – por exemplo, uma pesquisa global recente sobre cibersegurança revelou que o setor de varejo tende a investir menos em tecnologia da informação em segurança do que o setor da saúde! Considerando essa realidade, o objetivo deste post é apresentar algumas referências sobre benchmarks de segurança cibernética e seus benefícios. Continue a leitura e saiba mais!

Cibersegurança, investimento obrigatório

A maioria das organizações está acostumada a fazer um benchmarking de determinadas áreas de seus negócios, como estoques, vendas, lucros e alocação de recursos. Essas áreas têm uma coisa em comum: são facilmente medidas e quantificáveis. A segurança cibernética, por outro lado, não é algo tão simples de quantificar. Uma dada organização pode tentar avaliar seu desempenho de segurança, mas se eles dependem de indicadores altamente técnicos ou pontuais, seus comparativos de segurança provavelmente não serão muito úteis.

Antes de qualquer outra coisa, portanto, é preciso identificar as áreas críticas que exigem atenção. Depois disso, é que se começa a alocar recursos para corrigir problemas. Embora algumas áreas de segurança tenham estratégias diretas de correção e resultados óbvios, outras normalmente exigem um teste mais detalhado ou alguma outra estratégia de avaliação para determinar se as soluções implementadas foram bem-sucedidas.

Infelizmente, no setor de cibersegurança, a eficácia das ferramentas envolvidas é medida pelo que não acontece  – os hackers não acessam seus dados confidenciais, um malware não destrói os seus arquivos. Isso pode fazer com que seja difícil determinar o chamado “ROI”, a taxa de retorno para os investimentos nessa área. Com benchmarking, as classificações de segurança mudam tudo isso. Observando as classificações nas áreas que essas ferramentas deveriam proteger, removendo as ferramentas e comparando números, as empresas podem determinar se uma ferramenta realmente agrega valor. Os resultados desses experimentos podem ajudá-las a otimizar seus esforços de segurança cibernética e liberar recursos para alocar em outras iniciativas importantes.

Com seus benchmarks de classificação de segurança, as empresas podem ainda comparar a classificação atual em uma determinada área com aquela que teriam, antes de adotar determinada ferramenta. Se tiver melhorado significativamente, sua estratégia provavelmente estará funcionando.

Em muitas empresas, foi-se criando a cultura de basta ter um Firewall/IPS e um ativírus e, voilá!, não seria preciso mas nenhum investimento em segurança online. Ledo engano. Esses são passos importantes, mas apenas o início. Os dados quantitativos e objetivos envolvidos no benchmarking fornecem às organizações uma representação precisa de sua postura de cibersegurança externa. Essa visão permite que os profissionais de segurança resolvam os desafios de TI, aprimorem os relatórios e recebam mais recursos. Esses tipos de itens de ação concretos melhoram o desempenho e fortalecem a posição da equipe de segurança de Ti dentro da empresa.

Aproveite sua visita ao nosso blog e conheça muitas outras novidades sobre o setor de TI. Temos certeza de que você ira gostar!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *