Validação de segurança contínua para resiliência cibernética e conformidade regulatória

Para as empresas de hoje, o sucesso requer uma presença online. Mas as ameaças cibernéticas estão sempre à espreita nas margens. Assim, é fundamental proteger o seu negócio da melhor forma possível. Além disso, é vital escolher a abordagem certa quando se trata de segurança cibernética.

A maioria das empresas agora está ciente de que investir em segurança cibernética é essencial, porque se tornar vítima de um ataque cibernético pode ser bastante caro. Globalmente, o custo anual dos ataques de segurança cibernética será de cerca de US$ 10,5 trilhões até 2025. O valor não é difícil de alcançar, considerando que a frequência atual dos ataques cibernéticos é a cada 11 segundos.

Além da interrupção das operações normais de negócios, um ataque cibernético pode danificar a infraestrutura vital e os ativos de TI que podem ser difíceis de recuperar se a organização não tiver recursos ou orçamento. Um ataque cibernético causa perdas financeiras e perda de produtividade. Além disso, haverá danos à reputação, responsabilidades legais e problemas com a continuidade dos negócios.

Em 2021, vários ataques cibernéticos de alto perfil e violações de dados foram tornados públicos. Em junho de 2021, o Grupo Volkswagen da América informou que um terceiro obteve informações sobre clientes e compradores interessados ​​dos EUA e Canadá por meio de um fornecedor usado pela Volkswagen e pela Audi. O fornecedor deixou os dados inseguros entre agosto de 2019 e maio de 2021. Como resultado, cerca de 90.000 carteiras de motorista de clientes da Audi e compradores interessados ​​foram expostos. Alguns desses clientes afetados também tiveram suas informações privadas, como CPF, data de nascimento, números de identificação fiscal e números de contas ou empréstimos comprometidos. De acordo com a Volkswagen, todas essas pessoas receberão US$ 1 milhão em seguro, serviços de monitoramento de crédito e assistência em caso de roubo de identidade.

Os ataques de ransomware foram um grande problema no primeiro semestre de 2021 por causa de seus alvos de alto perfil e do valor pago por essas empresas para continuar suas operações comerciais. Você provavelmente conhece os ataques ao Colonial Pipeline, que pagou quase US$ 5 milhões em criptomoeda para recuperar 100 GB de dados. A JBS Foods, atacada em junho de 2021, pagou US$ 11 milhões em Bitcoin para retomar as operações na Austrália, e a norte-americana Brenntag SE, empresa de distribuição de produtos químicos na Alemanha, foi atacada em maio de 2021. Como possui subsidiárias em mais de 77 países, optou por pagar US$ 4,4 milhões em Bitcoin para continuar suas operações comerciais. O ataque comprometeu 150 GB de dados.

As organizações não podem se dar ao luxo de adotar uma abordagem reativa à segurança cibernética. Uma abordagem reativa significa que a empresa espera por um ataque antes de tomar as medidas necessárias para corrigir a violação.

A rota mais eficaz é uma abordagem proativa. Aqui, a organização toma as medidas necessárias para testar e proteger seu sistema de rede regularmente, mesmo que não haja sinais de ataque. As organizações que adotam esse método investem em programas ou plataformas de segurança para reduzir significativamente o potencial de um ataque ou garantir que o efeito seja mínimo no caso de um ataque cibernético.

Ao realizar avaliações de segurança, a organização pode implementar métodos como avaliações de vulnerabilidade, formação de equipes roxas, avaliação de terceiros e testes de penetração. Todos esses métodos de avaliação podem determinar os pontos fracos dos sistemas de segurança e as formas de corrigir as vulnerabilidades. Mas há limitações para eles, pois a maioria dos métodos fornece apenas uma avaliação pontual.

Com os métodos sofisticados que os cibercriminosos usam para explorar as fraquezas dos programas de segurança, as organizações precisam de uma plataforma de validação de segurança contínua.

Com a validação de segurança contínua, você pode ver a imagem precisa de todo o seu programa de segurança e quaisquer vulnerabilidades presentes. Além disso, o método emula um ataque cibernético real, criando o cenário para testar o quão bem seu programa de segurança cibernética pode resistir a um ataque com base nos vetores de ataque contidos na estrutura MITRE ATT&CK.

As equipes roxas de sua equipe de TI ou de seu fornecedor podem realizar o teste usando as técnicas e ferramentas reais que os hackers usam para atacar empresas semelhantes. Ao implantar uma validação de segurança contínua, você está se preparando para a forma exata dos ataques que provavelmente ocorrerão. Você pode definir a frequência da validação de segurança, que pode ser realizada manualmente ou automaticamente.

Em termos de benefícios, a validação de segurança contínua pode fornecer:

Quando sua organização está melhor preparada para qualquer forma de ataque cibernético, fica mais fácil para sua empresa cumprir os regulamentos de conformidade de segurança cibernética.

Setores específicos da indústria têm requisitos de conformidade de segurança cibernética. Por exemplo, empresas nos setores de saúde, serviços financeiros, governo, defesa, energia e negócios de consumo devem empregar uma variedade de tecnologias e processos organizacionais específicos para garantir a proteção dos dados que coletam e armazenam. Proteger informações significa proteger sua organização.

Algumas regulamentações de conformidade afetam todos os setores envolvidos nos Estados Unidos, e algumas são regulamentações estaduais específicas, como a Lei de Privacidade do Consumidor da Califórnia (CCPA). Em contraste, o Regulamento de Segurança Cibernética NYDFS (23 NCRR 500) do Departamento de Serviços Financeiros de Nova York abrange organizações não necessariamente sediadas em Nova York. Outros requisitos importantes de conformidade incluem:

Além do acima, você deve conhecer as leis de segurança cibernética, como HIPAA, Gramm-Leach-Bliley Act (GLBA) de 1999, Homeland Security Act, Federal Information Security Management Act (FISMA), de 2002, Cybersecurity Information Sharing Act ( CISA) de 2015, e Federal Exchange Data Breach Notification Act de 2015. Além disso, você também deve verificar os regulamentos estabelecidos pelo Regulamento Geral de Proteção de Dados (GDPR) se você realizar negócios com empresas europeias e Padrões de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DDS ) se você estiver envolvido em comércio eletrônico.

Não desconsidere essas leis e regulamentos porque as multas por violações são pesadas. Por exemplo, o HIPAA pode cobrar de US$ 50 a US$ 50.000 por registro exposto, enquanto o GLBA cobra US$ 100.000 por cada violação.

As organizações devem entender suas fraquezas de segurança antes que possam decidir como mitigar os riscos. Além dos vários requisitos para garantir a conformidade com a segurança cibernética, eles devem conhecer a si mesmos e a seus inimigos. É necessário conhecer os procedimentos, técnicas e táticas que os cibercriminosos usam para atacar as organizações por meio de uma plataforma de validação de segurança contínua que fornecerá resultados em tempo real sobre os pontos fortes e fracos de seus sistemas de segurança contra ataques cibernéticos emulados.

Leave a Reply

Your email address will not be published. Required fields are marked *