Importância de Saber a Localização de seus Dados
Em primeiro lugar, é fundamental para as organizações compreender onde os dados estão. Também é primordial garantir que os mapas de dados estejam atualizados, que todos os repositórios de dados têm os seus processos de auditoria e controle de políticas em conformidade e que acima de tudo, você entenda completamente onde os dados mais críticos estejam armazenados. Além disso, garantir que todas as políticas corretas, tais como acesso a dados, governança de dados e proteção de dados têm sido implementadas, bem como a garantia de que essas políticas sejam aplicadas de certa forma, controlada. Por exemplo, se as "crown jewels" (jóias da coroa) da organização em termos de dados é a sua propriedade intelectual, clientes ou informações pessoalmente identificáveis (PII)/dados PCI ou informações financeiramente sensíveis, é imperativo que a organização e sua equipe de TI/CIO não apenas compreendam onde é que os dados estão armazenados, mas também têm uma visão sobre quem tem acesso a ele, e como protegê-la totalmente.
Importância de Conhecer Políticas de Resposta a Incidentes da Organização
Uma vez que todos os pontos de entrada de dados foram criados, o próximo passo seria compreender plenamente as políticas de resposta a incidentes da organização, bem como o plano que deve ser seguido em caso de um incidente de segurança cibernética. Nesta situação, um fator importante a ter em mente é que nem todos os eventos de segurança são iguais e é vital para as organizações vir a classificar os mais diferentes tipos de incidentes, de modo que a resposta que seja ativado esteja alinhada com o seu alcance e com o seu nível de gravidade. Infelizmente, esta é uma área na qual muitas organizações vem lutando, e isso significa que eles não podem ser capazes de responder a esse incidente específico dentro do prazo adequado, ou que uma equipe não pode se perder quando se trata do procedimento correto a seguir.
Por exemplo, um ataque que ocorre como resultado de um malware que foi plantado na rede corporativa requer uma abordagem extremamente diferente de uma situação em que um funcionário tenha feito uma exfiltração de dados corporativos confidenciais. Naturalmente, em ambos os casos, seria necessário que a organização pudesse investigar a exposição real do ataque. No entanto, se o risco for considerado relativamente baixo, a resposta relativa neste caso pode ser para fechar a brecha e remediar a questão específica. Por outro lado, em situações que envolvem um maior risco onde os funcionários ou clientes podem estar envolvidos, a equipe de resposta e a própria resposta seriam completamente diferente e a organização pode enfrentar perdas financeiras ou danos à reputação.
Utilizar a Proatividade ao Invés de Esperar por Alertas de Segurança
Embora existam muitas ferramentas e tecnologias prontamente disponíveis hoje para ajudar as organizações a detectar violações de dados, é importante que essas organizações tornem-se pró-ativas em sua compreensão para determinar as suas capacidades de lidar com a grande quantidade de alertas de segurança, e como até mesmo elas devem implementar as melhores defesas no sentido de proteger as suas organizações contra investidas maliciosas.
Alertas de Segurança e Vulnerabilidade aos Riscos
Em um determinado dia, haverá inúmeros alertas de segurança que vêm dentro dos firewalls, detectores de intrusão, ferramentas de DLP e outros sistemas - no entanto, estes chegam, principalmente, uma vez que o dano já foi feito e causou inúmeros transtornos a todo o ambiente organizacional. Portanto, isso é muito preocupante, em diversos casos; os riscos de segurança verdadeiros, dignos de uma investigação mais aprofundada, podem se perder nas montanhas de alertas de segurança de entrada e a organização continuará a ficar no escuro, e totalmente vulnerável à violação. Isso pode ser agravado pelo fato de uma vez que o risco seja identificado, a equipe pode não ter a capacidade de visualizar o status dos vários pontos finais, mostrando a importância da prevenção ao invés da remediação.
No entanto, é a partir desta visão sobre como os pontos finais foram infectados que irá permitir que a organização irá tomar medidas de resposta adequadas. Por exemplo, uma equipe de segurança pode confundir uma atividade maliciosa com uma atualização de software em relação a qual elas não estavam conscientes e que não levantaria quaisquer alarmes, no curso normal das operações do dia a dia. Sendo assim, ao compreender o ambiente corporativo, e ter uma visão ativa das "jóias da coroa", as organizações irão detectar mudanças de comportamento dentro de seu ambiente e identificar um "baseline" aceitável, caso venha ocorrer qualquer tipo de alteração. E uma vez que esses processos sejam bem geridos, as organizações podem categorizar corretamente os vários alertas de segurança, podendo ainda qualificá-los, e entender como responder apropriadamente a toda e qualquer situação adversa que, futuramente, possa acontecer.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=2238&p=2