ia

Conheça as resoluções dos CISO em 2019

Cibersegurança e InfoSec Notícias

Novo ano, novas resoluções. O Center for Internet Security (CIS) divulgou as nove maiores resoluções que os Chief Information Security Officers (CISO) enfrentarão em 2019.
A primeira diz respeito ao conhecimento dos seus dados. “Não pode defender aquilo que não sabe que tem”, diz do CIS. À medida que as tecnologias na cloud e dispositivos móveis se tornam elementos básicos do local de trabalho, “é essencial que os CISO considerem todos os dados pelos quais são responsáveis”. Neste sentido, o CIS recomenda que faça um inventário de todo o hardware e software que a sua organização usa. Depois, mapeie a localização dos dados, seja num disco rígido, app ou nuvem.
Em segundo lugar, o CIS diz para os CISOs fazerem um plano de gestão de crise, o qual deve ser “acionável” para ser efectivo. “Garanta que o plano identifica que partes da sua organização necessitam de um plano de acção num cenário específico de crise”. Além disso, devem ser identificadas tarefas específicas para que todos saibam o que fazer numa situação de crise.
O terceiro ponto indica para tornar a cibersegurança próxima dos seus colaboradores. “As pessoas são mais empenhadas em fazer algo quando percebem o que fazer e a razão da sua importância”, aponta. Neste sentido, educar os colaboradores sobre como protegerem a sua informação anda de mão dada com a protecção dos dados da sua empresa. Mostre-lhes como se devem proteger contra um email de phishing, garanta app actualizadas e mostre-lhes como evitar sites potencialmente perigosos e vulneráveis.
O quarto ponto diz respeito ao risco e controlos organizacionais. Como aponta o CIS, “muitas empresas contam com uma combinação de práticas recomendadas e directrizes de segurança para protegerem os seus sistemas e dados”. No entanto, refere, “não importa como define os controlos organizacionais, o método implementado deve ter em conta o risco e o ónus”.
Em quinto lugar, o CIS alerta para a necessidade de observação dos processos que correm por trás das ferramentas desenvolvidas. “Considere a implementação de DevOps”, o qual, refere, “reúne equipas de desenvolvimento de software e TI para ajudar a criar e testar aplicativos em conjunto. Além disso, indica que, “os processos de DevOps devem ser auditados e revistos de forma a garantir que sejam colaborativos e eficientes”.
O centro alerta para a necessidade de se ir à raiz do problema. “Novas vulnerabilidade de software são descobertas diariamente e continuarão a ser exploradas por cibercriminosos em 2019”. Neste sentido, “em vez de perseguir as ameaças mais recentes, concentre-se na implementação de práticas recomendadas básicas de higiene e segurança cibernética”. Como aponta, “muitas violações de dados são causadas por falhas conhecidas de configuração e falhas de segurança”.
O sétimo ponto diz respeito aos riscos de terceiros, os quais devem ser tangíveis. “Entre diferentes aplicações, fornecedores cloud, e ofertas “as-a-service” usadas por organizações em todo o mundo, é importante que os CISOs levem em consideração os riscos de terceiros”, refere. Neste caso, o CIS alerta para necessidade de se “identificar que dados e software reside em cada fornecedor subcontratado e delinear quem é responsável por cada tarefa de segurança”. Posteriormente, comunique aos seus fornecedores para desenvolverem um modelo de responsabilidade partilhada em matéria de segurança.
O oitavo ponto volta a referir a importância dos colaboradores e da necessidade de terem presentes o conceito de segurança. “Colaboradores em todo o lado – escolas, pequenos retalhistas e até a loja local de gelados – necessitam de estar alerta para a cibersegurança”, diz. Tal como se aprende questões de como agir em situações de inundações ou fogos, os trabalhadores devem saber o que fazer no caso de ocorrer um incidente de cibersegurança. “Garanta que comunica o que os colaboradores devem fazer caso recebam um email suspeito ou façam download de um ficheiro malicioso”.
Por fim, o tema da governança. Para os CISOs a governança será fundamental este ano. “Precisamos ter determinação e impulso para implementar controlos de segurança em todas as organizações. Esses controlos devem ajudar a determinar como os dados estão a ser geridos, como implementar práticas recomendadas de segurança e como responder a várias ameaças cibernéticas”.
O CIS indica que os CISO não estão sozinhos nesta batalha. Trabalhando com o IT, desenvolvimento de software e levando toda a empresa a implementar novas práticas, tornando 2019 mais seguro.