Crie uma diretriz de segurança cibernética resiliente para sua empresa

O processo de desenvolvimento de uma estratégia anual para o programa de segurança cibernética deve ser a base para essa diretriz. O processo de planejamento estratégico começa com a elaboração de uma visão para o programa de segurança cibernética baseada em fatores do mundo real relacionados aos negócios, à tecnologia e ao ambiente econômico em geral.

Depois que as organizações definem a sua visão, elas devem avaliar o estado atual do programa e identificar as lacunas a serem fechadas para transformá-la em realidade. Para obter mais informações sobre o planejamento estratégico da segurança cibernética, acesse as práticas recomendadas da segurança cibernética.

Para obter a melhor visão sobre o estado atual do programa, use uma combinação de diferentes tipos de avaliação. Alguns exemplos são:

• Avaliações de eficácia de controles para determinar a maturidade da implementação de controles alinhados aos padrões da indústria e em comparação a outros colegas do setor.

• Avaliações de vulnerabilidade e testes de penetração para avaliar a infraestrutura técnica;

• Avaliações de risco para equilibrar o investimento em controles apropriados aos riscos reais;

• Descobertas recentes de auditoria;

• Avaliações de gestão de programas para avaliar e comparar a maturidade de políticas, processos e programas de segurança cibernética;

• Comparações de gastos e de pessoal com relação à segurança cibernética para compreender uso de recursos com colegas semelhantes.

Resuma os resultados das avaliações em um documento de “estado atual”. Em seguida, mapeie o estado atual em relação à declaração de visão para identificar as lacunas entre eles. Normalmente, a análise de lacunas resultará em uma lista de projetos e ações que o programa de segurança cibernética poderia assumir no ano seguinte.

Algumas das lacunas vão indicar a necessidade de ações claras. Por exemplo, a falta de uma orientação padrão para parceiros de computação na nuvem pública aponta para a necessidade de desenvolvimento de políticas de segurança cibernética para o contexto da nuvem.

No entanto, as respostas para as lacunas nem sempre são óbvias. Isso ocorre principalmente com as lacunas que existem devido a múltiplos fatores e dependências. Por exemplo, uma lacuna entre o nível atual de maturidade da governança de segurança e o nível definido pela sua visão exigirá uma análise detalhada sobre soluções de problemas para a apresentação de um plano de melhoria.

A figura acima apresenta uma visão geral sobre o estado atual versus o estado futuro e a identificação de lacunas para uma organização com uma visão de adoção de gestão contínua de exposição a ameaças (CTEM). Observe como a visão geral compara a visão desejada, ou o estado futuro, com o estado atual, e identifica oportunidades para preencher as crescentes lacunas de segurança cibernética. O plano de migração recomenda, em ordem de prioridade, as ações que os CISOs devem tomar para alcançar uma abordagem moderna para lidar com os problemas de segurança cibernética.

Poucas organizações têm recursos para executar todas as atividades identificadas em um mesmo período de planejamento. Os líderes de segurança cibernética devem definir prioridades baseadas nos seguintes critérios:

• O nível do potencial de redução de risco de um determinado projeto ou atividade;

• Os recursos necessários, como habilidades, funcionários e sistemas;

• O custo financeiro;

• O tempo de retorno do investimento, ou o período entre o momento em que a organização inicia o projeto e o momento em que pode começar a perceber um retorno sobre ele.

Sua diretriz de segurança cibernética deve ter uma escrita simples, para que todos possam compreender e acessar o documento. O relatório e a apresentação da diretriz também devem descrever claramente os estados atuais e desejados do programa de segurança cibernética, além de como os projetos prioritários ajudarão a alcançar a visão. Esses fatores aumentam as chances de a diretriz cumprir o seu papel: cultivar o apoio da organização e conectar a estratégia à execução para as equipes de segurança cibernética.

A otimização da comunicação e da usabilidade pode exigir que a equipe de segurança cibernética desenvolva versões distintas da diretriz para públicos diferentes. O formato e o conteúdo da versão executiva, por exemplo, podem se concentrar em como os itens da diretriz se conectam a objetivos empresariais específicos. O formato e o conteúdo para os funcionários da gerência intermediária, por outro lado, podem destacar as várias etapas envolvidas em diferentes projetos, além de qualquer coleta de dados adicional ou solução de problemas que precise ocorrer como parte de um projeto.

Uma diretriz eficaz de segurança cibernética é:

• Oportuna: entregue e atualize a diretriz no momento em que o público-alvo precisa;

• Intuitiva: crie uma diretriz que seja facilmente entendida pelo público-alvo. Adapte o documento para outros públicos alterando a perspectiva ou o foco, mas mantendo os mesmos elementos de dados;

• Acionável: garanta a clareza da diretriz e que ela possa ser usada imediatamente para permitir a execução pelas partes interessadas. Inclua as informações corretas para as partes interessadas e facilite sua localização.

As diretrizes típicas de segurança cibernética também refletem a priorização dos riscos e quaisquer interdependências que uma determinada iniciativa tenha com outros projetos do portfólio.