Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

CEO vs CSO, Parte 2: Risco de violação, investimento em segurança e pensar como um MBA

Para convencer os executivos a investirem em uma solução de segurança de dados é preciso entender como eles fazem seu trabalho
Emilia Bertolli
3 minuto de leitura
Publicado 13 de Dezembro de 2018
Ultima atualização 28 de Outubro de 2021

O objetivo desta série é criar uma ponte entre as divisões dessas tribos diferentes. Neste post, darei conselhos sobre como os CSOs e CIOs podem convencer seus chefes a pagar pelas soluções de segurança de dados. E o primeiro passo é entender melhor como os CEOs fazem seu trabalho.

MBA instantâneo para CSOs
O problema cultural começa na escola de negócios. Há muitos CSOs e CIOs com MBAs, mas a maioria deles está ocupado aprendendo sobre as mais recentes técnicas de teste ou estudando para a próxima certificação de TI.

Fiz um breve tour em um típico programa de MBA e posso dizer, sem ousadia, que tudo o que você precisa saber sobre o pensamento das grandes empresas pode ser resumido em um exemplo simples.

Digamos que, como uma tarefa típica da escola, você tenha US$ 500 mil para investir. Se você colocar tudo isso em uma poupança, pode ganhar menos de 1% ao mês, sem risco. Ou se preferir apostar em alguma startup de tecnologia esse ganho pode ser muito mais alto.

Qual a melhor opção?
Os alunos de MBA aprendem sobre conceitos tão elevados e calculam sem esforço o retorno médio do investimento acima. Eles sabem que, no longo prazo, sairão na frente com os investimentos em startups e, no curto prazo, terão que lidar notícias negativas.

Assim, com os 50 investimentos em startups, você tem 72% de chance de obter duas ou mais vitórias e obter um lucro de pelo menos US$ 800 mil. Por outro lado, você pode perder todo o investimento de US$ 500 mil em 28% das vezes. Mas os pagamentos cobrirão as perdas e darão lucro.  – um pagamento esperado de US$ 1 milhão para um lucro de US$ 500 mil.

O que isso tem a ver com convencer executivos a investir em um software de proteção de dados?
Digamos que o CEO tenha uma planilha mostrando receitas e custos projetados nos próximos anos. Naturalmente, ele atribui vários pesos ou probabilidades a diferentes cenários e calculou um pagamento médio para cada um.

Ao justificar um investimento em um novo software de segurança de dados, um CEO quer saber como o software de segurança de dados irá dobrar ou moldar as projeções nas planilhas.

Para convencer os outros executivos ou o conselho de administração, o CSO terá que provar que uma violação pode ocorrer e vai causar uma perda significativa envolvendo custos legais, multas regulatórias, ações coletivas e rotatividade de clientes. E, em seguida, explicar como o software de segurança proposto deve se pagar protegendo contra essas violações, mantendo, assim, os planos de negócios nos trilhos.

Violações de dados e risco
A abordagem do FAIR te obriga a se aprofundar em duas áreas: a magnitude ou o custo de um incidente de violação de dados e a frequência com que esses ataques surgem. A partir disso, você pode chegar a uma estimativa razoável do custo médio de lidar com violações em um determinado período de tempo.

Vamos pegar a primeira parte, o custo de uma violação, que, na verdade, não é um número único. É uma distribuição de porcentagens – digamos, 10% dos incidentes de violação custam menos de US$ 10 mil, 15% são de US$ 30 mi ou menos, etc. Essa distribuição de perdas segue o nome fantasia de probabilidades de excedência ou perda excessiva. No mundo real, as companhias de seguro produzem esses gráficos de distribuição para elaborar políticas automáticas ou domésticas para seus grupos de risco.

Você consegue calcular uma probabilidade de excedência para sua própria situação?
Você pode ter que fazer alguma pesquisa e talvez construir um modelo básico. No entanto, para falhas no setor de saúde, temos um mar de informações graças ao HIPAA.

Pude aproveitar os dois últimos anos do relatório de violações da HIPAA e calcular as perdas com base na fórmula de regressão de custo de violação de Jay Jacob. A distribuição de perdas vem da classificação dos custos do menor para o maior e do cálculo das porcentagens.

Vale a pena refletir sobre o assunto e observar como os incidentes se concentram na base, enquanto a cauda tem menos incidentes, mas muito maiores: nas dezenas de milhões, com um peso de mais de US$ 100 milhões.

Como um teste de integridade do meu conjunto de dados, calculei o custo médio de um incidente de saúde em cerca de US$ 4,2 milhões. Isso está na casa dos números de custo de incidentes do Ponemon.

Este é exatamente o tipo de informação que um CEO de hospital gostaria de saber. Entretanto, para obter uma resposta mais prática, é preciso estimar as chances da organização ser violada.

Se quiser uma tarefa de casa, analise as apresentações de Evan Wheeler sobre gerenciamento de riscos cibernéticos.

Onde estão seus dados de maior risco? Em média há cinquenta mil pastas em um único terabyte de dados. Saber quais pastas trazem dados sensíveis e protege-las é a melhor estratégia para evitar vazamentos. Com o Varonis Data Classification Framework é possível descobrir rapidamente o conteúdo sensível, mostrar o que está exposto e bloquear acesso não autorizado sem interromper os negócios.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento