Nos artigos anteriores abordamos os principais frameworks e melhores práticas para segurança cibernética destacando que um dos maiores desafios da atualidade para os gestores é dimensionar e justificar adequadamente os investimentos na implementação dos controles de segurança.
Qual o atual nível de segurança da sua organização? Será que é suficiente ou necessita de mais investimento? Como priorizar e decidir entre os vários controles? Quais medidas de segurança trazem a melhor relação custo x benefício?
Para ajudar nestas respostas é preciso adotar a abordagem que a ISO, @iso, define como "mentalidade de risco" (risk-based thinking), ou seja, utilizar a gestão de riscos para identificar, analisar e avaliar as ameaças e então, a partir de critérios alinhados com o negócio, decidir as estratégias e as melhores ações de tratamento.
Possuindo como missão "tornar o mundo conectado um lugar mais seguro", o CIS, @cis, Center for Internet Security, é uma organização sem fins lucrativos que reúne a comunidade mundial de especialistas para desenvolver, validar e promover soluções que ajudam pessoas, empresas e governos a se protegerem contra as ameaças cibernéticas.
Para se proteger contra os ataques mais comuns contra sistemas e redes existem os Controles de Segurança do CIS (Controles CIS), um conjunto de ações de segurança que fornecem uma abordagem de defesa e melhores práticas Estas ações estão priorizadas e organizadas em uma lista com 18 Controles Críticos, totalizando 153 Medidas de Segurança.
Estas Medidas de Segurança estão também classificadas em Grupos de Implementação (IG1, IG2 e IG3) que orientam a sua priorização em empresas de todos os tamanhos, baseados no seu perfil de risco e recursos disponíveis.
Toda empresa deve começar implementando as Medidas de Segurança do IG1, definido como a "higiene cibernética essencial", ou seja, o conjunto fundamental de medidas para se proteger contra os ataques mais comuns.
O CIS também publicou o CIS RAM (Risk Assessment Method), um método de avaliação de riscos de segurança da informação que orienta as organizações a implementar e avaliar sua postura de segurança frente às práticas recomendadas dos Controles CIS.
Considerando o impacto para a a missão, objetivos de negócio e obrigações legais de cada organização, o CIS RAM possibilita traduzir para uma linguagem executiva a seleção das Medidas de Segurança com base na análise custo x benefício dos investimentos. Esta abordagem favorece também a prestação de contas juntos a reguladores demonstrando a "razoabilidade", "devido cuidado" e "adequação" das decisões tomadas.
Através do CIS RAM é possível também estabelecer o nível de maturidade de Segurança Cibernética de uma organização a partir da avaliação de cada Medida de Segurança. Esta avaliação é feita por um valor de '1' a '5' que descreve o quão confiável é a implementação da respectiva Medida de Segurança.
Definição de pontuações de maturidade
Com base na sua maturidade de Segurança Cibernética, as organizações melhoram também os seus ciclos anuais de planejamento, onde orçamentos e investimentos são definidos e justificados a partir de ações para aumentar de forma direta a maturidade para níveis planejados. É possível ainda monitorar o andamento e eficácia destas ações em um painel de maturidade.
Para apoiar as organizações a Modulo Security, @modulo, desenvolveu o QuantRisk, ferramenta automatizada para gestão da maturidade em cybersecurity usando o CIS RAM. Para maiores informações sobre o CIS eCIS RAM fica o convite para assistirem a gravação da Live que fizemos sobre Governança em Segurança.
Até a próxima!
Alberto.
