Os primeiros 90 dias de um CISO: plano de ação e conselhos

Muitas organizações procuram um Diretor de Segurança da Informação (CISO) que possua uma combinação de proficiência técnica e habilidades de liderança. Embora esta não seja uma função puramente técnica, os CISOs precisam ser capazes de se comunicar de forma eficaz com as equipes técnicas, compreender a evolução dos riscos de segurança e da tecnologia de proteção de dados, e também conseguirem articular questões e soluções de segurança complexas para executivos e funcionários não técnicos. 

Para CISOs que estão começando em uma nova organização que possui sistemas de governança e segurança de dados desconhecidos, os primeiros 90 dias podem ser desafiadores, para dizer o mínimo. 

Neste artigo veremos: 

• As funções e responsabilidade do CISO  

• Tendências emergentes e desafios 
• Um plano de ação para o CISO durante seus primeiros 90 dias 
• Como a Varonis pode ajudar os CISOs a se atualizarem mais rapidamente. 

Papel e responsabilidades do CISO atualmente

Embora não haja dois cargos de CISO iguais, uma carga de trabalho ampla e variada é comum para os todos, e eles normalmente se enquadram em uma função de consultoria. 

Para ter sucesso nesta posição, o CISO precisa de um sólido conhecimento empresarial, bem como um bom domínio dos aspectos técnicos do trabalho, juntamente com a capacidade de se comunicar claramente com os membros da equipe técnica e não técnica. 

As responsabilidades do CISO incluem: 

Construir resiliência e defender iniciativas de segurança

O CISO desenvolve ou atualiza as políticas, diretrizes e procedimentos de segurança da informação de uma organização, alinhando suas metas de segurança cibernética com os objetivos de negócios. 

Isso significa que ele precisa ser líder de sua equipe de segurança e ser capaz de articular claramente problemas e soluções técnicas para toda a empresa. Isso pode incluir ajudar os executivos a compreenderem quaisquer possíveis problemas de segurança que possam surgir da implementação de um novo hardware ou software, ou da aquisição de outra empresa. 

Deve também ser defensor de novas iniciativas tecnológicas e de segurança. O CISO precisa ter capacidade de quantificar quais riscos de segurança são reais e quanto dinheiro deve ser gasto no combate às ameaças para garantir que a organização possa reduzir o risco de violações sofisticadas e roubo interno. 

Gestão de segurança de dados

Depois que as iniciativas são aprovadas, o CISO atua para que tudo corra bem, incluindo planejamento, compra e implementação de novas tecnologias, garantindo que a infraestrutura de TI utilize as melhores práticas em cada etapa. 

Ele também precisa estar um passo à frente de qualquer problema de segurança futuro, garantindo que atualizações e patches sejam aplicados, implementando controles de acesso para dados confidenciais, investigando violações, casos elas ocorram, e tomando medidas se descobrir algum incidente interno. 

Conformidade

O CISO ajuda a organização a manter os padrões de conformidade necessários para seu setor. Ele precisa compreender quaisquer regulamentações novas ou futuras que afetem a empresa (por exemplo, LGPD, GDPR, SOX entre outras) para que possa garantir que os protocolos de conformidade sejam cumpridos. 

Operações de segurança

Um bom CISO precisa estar atualizado com o cenário em evolução das ameaças externas e internas. Ele deve ser capaz de gerenciar e otimizar a pilha de segurança e implementar sistemas que proporcionem uma análise em tempo real de ameaças imediatas, além da capacidade de reduzir o raio de explosão se algo der errado. 

CISOs virtuais

Com o aumento do trabalho remoto e das contratações globais, agora existem CISOs virtuais (vCISOs) para preencher lacunas de pequenas e médias empresas que não podem, ou não precisam, pagar por um CISO em tempo integral. 

Fazer uma contratação virtual também pode ser atraente para empresas que precisam de um CISO para coisas específicas, como ajudá-las a cumprir os padrões de conformidade. Os vCISOs podem ajudar a reduzir drasticamente os custos de contratação, integração e administração de um CISO tradicional. 

Um vCISO é um profissional qualificado e deve oferecer o mesmo nível de orientação e experiência de um profissional interno. Eles serão capazes de desenvolver políticas e padrões de segurança, criar e implementar programas, avaliar sua infraestrutura de rede e realizar avaliações de risco que podem ajudá-lo a identificar áreas de melhoria. 

Desafios enfrentados pelos novos CISOs

Nos últimos 10 anos, o papel do CISO tornou-se bastante complexo, e isso ficou ainda mais evidente desde o início da Covid. 

A partir de um trabalho de escritório relativamente simples, que envolvia a proteção de dispositivos e arquivos onde os dados são armazenados, os CISOs hoje têm que fazer muito trabalho pesado devido ao mundo do trabalho remoto e à mudança progressiva de dados para a nuvem. 

Os funcionários e as aplicações agora precisam estar conectados entre si 24 horas por dia, 7 dias por semana, em todo o mundo. Sem mencionar a abundância de aplicativos de terceiros que exigem acesso aos seus dados confidenciais e muitas vezes não obtêm o selo de aprovação da equipe de segurança antes da ativação. Isso significa lidar com novos vetores de ameaças e lacunas adicionais que podem ser exploradas para fraude e roubo, como funcionários que trabalham em locais e redes sem fio inseguras. 

Pense nos CISOs que acabaram com toneladas de tarefas extras e problemas de gerenciamento de risco devido ao trabalho remoto. 

Por outro lado, com tecnologia avançada, como plataformas de gerenciamento de postura de segurança de dados (DSPM), os CISOs podem localizar e marcar facilmente dados mais confidenciais, aplicar permissões de acesso e rastrear o uso e movimentação. Isso significa que eles podem quantificar os riscos e analisar o que deu errado no caso de uma violação, para evitar ataques futuros. 

Para organizações que dependem de soluções de endpoint e segurança de perímetro, os CISOs podem suportar o impacto de quaisquer ataques dos mais recentes desenvolvimentos em ransomware, como ameaças que procuram rentabilizar o acesso maliciosos. 

Essas violações podem resultar na retenção de dados para resgate até que o pagamento seja efetuado. As demandas de pagamento são geralmente feitas com criptografia como moeda, dificultando o rastreamento e quase impossível de recuperar o dinheiro depois de enviado. 

Do ponto de vista da equipe, o papel do CISO é de um desabilitador, não um facilitador — portanto, os novos CISOs precisam desenvolver uma pele dura desde o início. 

Eles precisarão formar uma equipe de SecOps, GRC e Sec Archtects e garantir que todos sejam produtivismo, estejam eles no local ou trabalhando remotamente. Além disso, terão de garantir que as iniciativas de segurança implementadas sejam compreendidas e seguidas por todos — desde o CEO até membros não técnicos. 

Os desafios enfrentados por um novo CISO também podem se manifestar de outras formas, como stress devido à falta de recursos e tecnologia disponíveis para auxiliá-los a ter sucesso na sua função. Uma plataforma única e centralizada pode impactar positivamente em seu trabalho, reduzir risco de erros e melhorar os níveis de estresse. 

Por que os primeiros 90 dias são críticos para um novo CISO?

É responsabilidade dos CISOs estabelecer uma base de segurança sólida o mais rápido possível, e há muitos erros que podem ser cometidos ao longo do caminho. É por isso que os primeiros 90 dias são os mais importantes para o profissional. 

Alguns dos obstáculos que o CISO enfrenta incluem: 

Compreender as vulnerabilidades de segurança

Não é possível resolver um problema sem conhecê-lo ou compreendê-lo. Infraestruturas de TI e de rede desconhecidas, aliadas a milhares de funcionários e diversas aplicações em nuvem, representam um conjunto desconhecido de riscos que um CISO precisa avaliar antes de poder abordá-los e priorizá-los. Cada lacuna de segurança representa uma ameaça para toda a organização. 

Comunicação e coordenação

O CISO precisa gerir e coordenar uma vasta gama de pessoas, desde sua própria equipe de segurança até times mais amplos com executivos nível C, stakeholders, investidores e parceiros. Ele precisa de uma comunicação excepcional e habilidades persuasivas para apresentar problemas e soluções que se alinhem aos objetivos de negócios, muitas vezes para pessoas não técnicas. 

Obter adesão para iniciativas de segurança

Se a resolução dos riscos de segurança requer novas tecnologia, o CISO precisa do financiamento necessário para implementar a solução rapidamente. Conseguir a adesão e orçamento para fazer mudanças pode ser difícil, exigindo que ele defenda fortemente a importância da segurança e, em seguida, desenvolva e financie uma estratégia que possa ser rapidamente aprovada, implementada e adotada em toda a organização. 

Redução de custos

O CISO pode assumir uma nova função em um momento de corte de custos. Isso pode significar operar com orçamento e equipe menor e recursos tecnológicos limitados. Ao consolidar ferramentas (por exemplo, passar de múltiplas soluções interligadas para uma plataforma tudo-em-um) e melhorar os fluxos de trabalho, ele pode ajudar a reduzir custos contínuos, garantindo ao mesmo tempo que as medidas de segurança cumpram as melhores práticas. 

Sem um caminho claro para o sucesso nos primeiros meses, o CISO pode perder a confiança na sua capacidade como agente de mudança e colocar toda a organização em risco de roubo de dados e perdas financeiras. Sem pressão! 

Plano de ação dos CISOs para os primeiros 90 dias

Ter um plano de ação em vigor para os primeiros dias pode ajudar os CISOs a priorizar as etapas que precisam ser seguidas, com base no que aprenderam sobre os sistemas e dados existentes de uma organização. Isso significa que eles podem reduzir a sensação de sobrecarga e trabalhar estrategicamente em direção aos objetivos de negócios. 

Implemente medidas para garantir que os dados sejam protegidos

Para um novo CISO, pode ser um desafio tentar localizar e classificar todos os dados confidenciais de uma organização, sem mencionar a garantia de que também estejam protegidos contra uma variedade de ameaças. 

A tecnologia de proteção de dados geralmente se concentra em perímetros e endpoints, dando aos malfeitores internos a oportunidade perfeita para escapar de qualquer falha de segurança e arquivos, pastas e dispositivos. Para grandes organizações, é praticamente impossível auditar a atividade de dados em escala sem um DSPM robusto. 

A Varonis oferece uma avaliação de risco de dados gratuita e personalizada que não causa nenhuma interrupção em seu ambiente de TI e pode ajudar novos CISOs rapidamente a: 

• Identificar vulnerabilidades 
• Simplificar a conformidade 
• Priorizar os riscos e atuar sobre eles de acordo com os requisitos do negócio 

Ao implementar uma ferramenta DSPM como a Varonis, os CISOs podem construir automaticamente uma linha de base ao longo de horas, dias e semanas para cada usuário e dispositivo em sua organização, permitindo: 

• Identificar comportamentos incomuns na nuvem ou no local 
• Visualizar os tipos de contas existentes e a quem pertencem 
• Entender quem usa quais dispositivos e acessa determinados dados 
• Monitorar quando os usuários estão ativos e onde estão localizados 

Desenvolva um sistema para detectar e responder prontamente a quaisquer violações potenciais

A maioria das soluções de segurança só podem corrigir violações depois que elas acontecem, e não antes ou durante um evento de ameaça. Em muitos casos, os dados afetados não podem ser restaurados — portanto, uma solução reativa não é suficiente. 

Ao contrário de outras ferramentas, a Varonis se concentra em ameaças internas e de dados, permitindo que o CISO proteja arquivos, pastas, unidades e permissões muito além das capacidades de soluções simples de backup ou perímetro. Isto inclui ferramentas de gestão de riscos internos e detecção automática de qualquer sinal de comprometimento. 

Além da detecção e mitigação automatizada de ameaças, a Varonis também oferece uma equipe dedicada de resposta a incidentes que pode ajudar com: 

• Monitoramento proativo de alertas e investigação de ameaças 
• Desenvolvimento de modelo de ameaça personalizado 

• Configurações de resposta automatizada 
• Atualizações regulares para revisar as descobertas de segurança 

Certifique-se de que haja medidas de segurança robustas em vigor

As organizações criam e enviam uma quantidade impressionante de dados todos os dias através da nuvem e de redes internas. À medida que aumenta a adoção de serviços em nuvem, CISOs precisam saber onde estão os riscos em cada ponto de contato para que possam priorizar cada risco e implementar a segurança necessária. 

Isso inclui pensar em fatores como: 

• Monitoramento aprimorado de usuários externos e convidados 
• Monitoramento de conta privilegiada 
• Capacidade de detectar alterações arriscadas na configuração e desvios das práticas recomendadas de serviço 
• Remoção de identidades obsoletas 

Estabeleça procedimentos para demonstrar que os dados são tratados de forma responsável

Os CISOs devem estabelecer procedimentos e relatórios que ajudem a demonstrar que os dados estão classificados e são tratados adequadamente. 

Eles precisam provar que: 

• Os dados confidenciais estão rotulados corretamente 
• Os usuários podem ter acesso concedido ou revogado conforme apropriado 
• O ciclo de vida dos dados está sendo gerenciado 

• Atividades não autorizadas ou suspeitas são sinalizadas e tratadas adequadamente 

Os relatórios devem ser gerados conforme necessário para fornecer atualizações e permitir que a organização tome decisões mais inteligentes e rápidas sobre a segurança de dados. 

Maximize o valor das ferramentas e da tecnologia

Ter as melhores ferramentas e tecnologias da categoria não fará nenhuma diferença para a segurança, a menos que haja adoção e uso generalizados. 

A Varonis oferece soluções poderosas de segurança de dados em uma plataforma única e fácil de usar, garantindo a adoção ideal com pouca ou nenhuma curva de aprendizado. 

Também garantimos que as ferramentas da Varonis sejam personalizadas para atender às suas necessidades específicas e oferecemos treinamento contínuo e sessões de otimização, se necessário, além de vastos recursos, incluindo white papers, vídeos, pesquisas e webinars, para que você obtenha o melhor valor possível do seu DPSM. 

Leia mais: 

• Como a Punahou School protege os dados dos alunos no local e no Google Drive com a Varonis 
• Como a Varonis ajuda uma instituição cultural dos EUA a se proteger contra ataques cibernéticos 
• O roteiro exato de segurança de dados que usamos com mais de 7 mil CISOs 

Como a Varonis pode ajudar os CISOs a se atualizarem mais rapidamente

Os CISOs muitas vezes assumem uma nova função, herdando sistemas de segurança e conformidade de dados que não atendem às melhores práticas e não são capazes de lidar com a quantidade significativa de dados que estão sendo criados e armazenados em uma organização. Pode ser um campo minado garantir que todos os dados confidenciais sejam contabilizados. 

Ao implementar um roteiro como o mencionado acima e usar uma ferramenta como a Varonis, os CISOs podem reduzir o trabalho manual necessário para alcançar os padrões de conformidade e segurança necessários, e fazê-lo de forma significativamente mais rápida e econômica do que trazer terceiros para ajudar nessa tarefa. 

A Varonis ajuda os CISOs a entender rapidamente o cenário de dados locais ou na nuvem de sua organização, para que possam se sentir confiantes sobre onde estão os dados confidenciais, quem tem acesso e quem está acessando essas informações a qualquer momento. 

Nossa tecnologia dá aos CISOs visibilidade completa sobre o que os funcionários estão fazendo, os dados que criam, como acessam e compartilham na infraestrutura de TI. Nossa equipe enviará um alerta e tomará medidas para bloquear os dados potencialmente afetados se uma violação for detectada. 

Com a Varonis, os CISOs podem comunicar com confiança sobre o estado dos dados críticos a qualquer momento, proporcionando maior tranquilidade. 

Agende uma sessão de demonstração e tire suas dúvidas sobre como a Varonis pode ajudar a manter seus dados em segurança.