Brasil,

SE: Os 4 caminhos para o executivo investir bem em segurança da informação

  • Crédito de Imagens:Divulgação - Escrito ou enviado por  Check Point
  • SEGS.com.br - Categoria: Info & Ti
  • Imprimir

Crédito: pixabay.com_CC0 Creative Commons Crédito: pixabay.com_CC0 Creative Commons

Muito tem se abordado sobre a nova postura que o Chief Information and Security Officer (CISO) vem adotando para conduzir as estratégias de segurança e gestão de riscos de TI às melhores expectativas de resultados de negócios de sua organização. Além de acompanhar e entender as tendências atuais do complexo cenário de ameaças, essas passaram a exigir do CISO que proceda a uma gestão de cibersegurança mais rigorosa.

Assim, não basta compreender essas estratégias de segurança e gestão de riscos, o CISO deve ter atenção redobrada para evitar aquisição orgânica de tecnologias de segurança, sem a visão da infraestrutura da organização. Seria um equívoco agir organicamente diante de um cenário pleno de complexidade hoje.

Ressalto aqui quatro caminhos a serem seguidos pelo CISO para investir adequadamente em tecnologias, no sentido de viabilizar as ações de segurança e gestão de risco:

1. Abolir escolha de soluções por comparativo de folhetos

Proteger os dados pessoais (de clientes e de funcionários) e a infraestrutura, dos setores público e privado, sempre foi relevante e, ainda mais agora, que é preciso estar em conformidade com regulações como a Lei Geral de Proteção de Dados (LGPD) no Brasil. Priorizar a proteção passa a estar associada à levantar detalhadamente quais os motivos que levam o CISO a investir em segurança para determinar os tipos de soluções.

Hoje torna-se essencial confirmar se o fornecedor tem a preocupação com atuais práticas no setor de segurança da informação, desde lawful of interception (intercepção legal) até backdoors (entradas secretas) e contrato de privacidade estabelecido com as organizações. Ou seja, devemos abolir a prática de escolher soluções por comparação de datasheets.

2. Arquitetura do ambiente de TI vs. crescimento orgânico

No final das contas o CISO precisa viabilizar os negócios de sua organização e levando-a à transformação digital. Por isso, sua visão deve ser voltada à arquitetura do ambiente de TI e de segurança, contrapondo-se à visão de crescimento orgânico. A segurança da informação deve estar embarcada na visão de arquitetura dessa infraestrutura, pois não se trata mais de acrescentar soluções de segurança conforme as ameaças e os ataques vão surgindo, de maneira orgânica. Mas, construir uma arquitetura na qual as tecnologias cobrirão o máximo de possibilidades de vulnerabilidades ou brechas, em que tudo deve estar integrado para análises, conformidade e governança de segurança.

3. Correções de vulnerabilidades

Pesquisar o histórico e a reputação do fornecedor e quanto tempo atua no mercado vem merecendo igual atenção na escolha das soluções. Deve-se verificar se o fornecedor registrou algum vazamento de dados, se apresentou vulnerabilidades em algum produto ou solução e como lidou com tudo isto. Existem fornecedores que levam seis meses para corrigir vulnerabilidades de produtos. O CISO precisa se assegurar que os sistemas e processos do fornecedor contenham código maduro e resposta rápida para tais vulnerabilidades. Há casos em que um fornecedor registrou 109 vulnerabilidades de 2016 a 2018 e seu tempo médio de correção foi de 152 dias. Produtos de segurança que apresentem muitas vulnerabilidades já é sinal de um grave problema, mas quando o fabricante leva em média de 100 a 150 dias para corrigi-las, é algo impensável. Os bons investimentos em tecnologia de segurança da informação precisam levar em conta todos esses aspectos.

O cenário atual de cibersegurança exige uma postura consistente de um fornecedor, em que as práticas de desenvolvimento seguro e garantia de qualidade (quality assurance) sejam empregadas para que seus produtos apresentem o menor número possível de vulnerabilidades. O senso de urgência e a responsabilidade para resolução de eventuais vulnerabilidades em seu produto no menor tempo possível é o mínimo que se espera de um fabricante sério, lembrando que o propósito de seu produto é reduzir a exposição e não introduzir novos riscos ao ambiente dos clientes.

4. LGPD

A Lei Geral de Proteção de Dados (LGPD), promulgada em agosto de 2018 e que entrará em vigor 14 de agosto de 2020, contempla que esses atributos sobre os fornecedores devem ser avaliados a fundo, pois eles devem ter este histórico de reputação e sobre como lidaram com os problemas de vulnerabilidade e correções. A estratégia de investimento em segurança da informação foi ampliada no sentido de que às pessoas, aos processos e às tecnologias somaram-se o fornecedor, as regulações e a integração de processos e infraestrutura para efetivamente alcançar os bons resultados e objetivos dos negócios.

Isso tudo nos mostra que a forma de adquirir tecnologias avançou para um patamar no qual a infraestrutura se integra aos investimentos de segurança existentes e futuros para suportar a resposta a incidentes e possibilitar uma proteção contínua e ainda mais eficaz, com informações detalhadas sobre o que está sendo feito para mitigar e gerenciar os riscos.

* Daniel Romio é gerente de distribuição da Check Point no Brasil


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

voltar ao topo

Adicionar comentário

Aja com responsabilidade aos SEUS COMENTÁRIOS, em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!

Security code Atualizar

Enviar