A cibersegurança era tradicionalmente considerada um problema apenas da TI, mas o cenário mudou e a segurança digital é agora tema obrigatório para os negócios.
As empresas têm se preocupado apenas em proteger o que está dentro de suas paredes. No entanto, como o ecossistema empresarial vem se expandindo com parcerias de terceiros, as linhas entre o que é interno e externo estão cada vez mais nebulosas. Isso resultou em um novo ecossistema empresarial baseado em compartilhamento, mas a colaboração apresenta seus próprios riscos e desafios.
Apesar de precisarmos colaborar entre empresas, também precisamos estar cientes de onde a partilha de dados acontece, para que possamos colocar os controles certos contra os hackers. Algo que você deve sempre considerar: existe um elo fraco na sua cadeia que possa proporcionar oportunidades para invasores? Lembre-se que os possíveis vetores de ameaças podem se originar de qualquer ponto do ecossistema, o que torna proteger ativos críticos ainda mais importante.
Armadilhas comuns
A identificação e proteção de ativos críticos é uma das coisas mais fundamentais que a maioria das organizações têm que fazer para proteger suas informações. Embora o conceito não seja novo, a maioria das organizações não o têm executado bem. Anos de pouco investimento em certas áreas deixaram certas empresas incapazes de se atualizar e algumas armadilhas comuns incluem:
– Enfoque na classificação de dados: As empresas podem determinar a importância dos ativos com base nos tipos de dados. Infelizmente, se você está pensando apenas nos dados como forma de classificar os ativos críticos, você está perdendo as informações que não são dados, mas que são importantes para o negócio.
-Concentre-se na lista de verificação: Seguir os padrões de proteção é importante, mas não é o suficiente. Além da conformidade, a organização deve abordar a proteção partindo de uma visão geral dos riscos com base nos ativos.
-Tapar buracos: Observar riscos e ameaças hoje não é suficiente; você não pode estabelecer proteção com base em problemas do passado.
Garantindo Sucesso
O ambiente dinâmico em que vivemos e trabalhamos é cada vez mais interconectado, integrado e interdependente, então a segurança tem que ser responsabilidade de todos. Nenhum grupo tem uma visão completa das ameaças críticas. É importante que os grupos em toda a organização colaborem para compreender, de forma holística, como planejar, detectar e defender a empresa contra os riscos de segurança e ameaças.
Enquanto você considera a segurança da sua organização, aqui estão cinco componentes básicos para identificar de forma eficaz os ativos críticos e aplicar uma estratégia de proteção para esses ativos:
1- Contexto Empresarial: Os ativos críticos devem ser definidos dentro do contexto empresarial adequado e devem ser ligados ao que é importante para a sua organização e seu sucesso. Considere a sua propriedade intelectual, o que o torna único, e as suas vantagens competitivas.
2- Avaliação Patrimonial: Analise as diferentes categorias de ativos dentro da sua organização para identificar as “joias da coroa”. Lembre-se que nem todos os ativos são criados iguais e nem todos os ativos críticos são ativos de TI. Podem variar de receitas secretas a um documento M&A.
3- Análise de Ameaças: Uma vez que você tenha identificado o seu patrimônio, é crucial entender as ameaças relevantes. Isto inclui identificar de onde elas estão vindo, quais são os vetores de ameaças, e o que você acha que os autores podem estar procurando. Aqui, novamente, é importante ter colaboração a fim de ter uma visão holística de possíveis ameaças.
4- Proteger Estratégias: Agora você deve começar a desenvolver estratégias de proteção para os ativos e as ameaças que você identificou na organização. Usar essa abordagem ajuda a elaborar a situação para a proteção e permite que você mostre a maturidade do programa.
5- Execução: A execução é um processo constante que precisa de refinamento contínuo e que ocorre em tempo real, o tempo todo. Vemos ameaças ao vivo continuamente e precisamos garantir que eles não estejam prejudicando a organização.
A proteção de ativos críticos deve ser vista como algo tão essencial para a empresa quanto os próprios bens. A segurança precisa ser impulsionada pela empresa e apoiada nos níveis mais altos da organização. Isto significa ter uma participação significativa para garantir a implementação dos controles corretamente desde o início, e não como uma consequência
