Tech

Abordagem em 4 etapas para mapear e proteger os ativos mais críticos da sua organização

Photo of LifeTechWeb LifeTechWebMay 28, 2024
0 7 minutos lidos
Abordagem em 4 etapas para mapear e proteger os ativos mais críticos da sua organização
Protegendo Ativos Críticos

Você provavelmente conhece o termo “ativos críticos”.

Esses são os ativos tecnológicos da infraestrutura de TI da sua empresa que são essenciais para o funcionamento da sua organização. Se algo acontecer com esses ativos, como servidores de aplicativos, bancos de dados ou identidades privilegiadas, as consequências para sua postura de segurança poderão ser graves.

Mas será que todo ativo tecnológico é considerado um ativo crítico?

Além disso, todo ativo tecnológico é considerado um negócios-ativo crítico?

Quanto sabemos realmente sobre os riscos para os nossos negócios-ativos críticos?

Os ativos críticos para os negócios são os ativos tecnológicos subjacentes ao seu negócio em geral – e todos sabemos que a tecnologia é apenas um dos três pilares essenciais necessários para uma operação comercial bem-sucedida. Para ter uma governança completa da segurança cibernética, as organizações devem considerar: 1) Tecnologia, 2) Processos de negócios e 3) Pessoas-chave. Quando estes três pilares se juntam, as organizações podem começar a compreender os seus ativos críticos para o negócio – ou aqueles que são essenciais para o bom funcionamento do seu negócio.

Protegendo Ativos Críticos

A importância de focar em ativos críticos para os negócios

Hoje todo mundo sabe que não é possível consertar tudo.

Existem simplesmente muitos problemas que precisam de remediação – desde CVEs até configurações incorretas, identidades excessivamente permissivas e muito mais. Nesta situação, as organizações ficam incapazes de responder à questão de “onde devemos concentrar os nossos esforços primeiro?” E sem um caminho claro para resolver primeiro o que é mais importante, muitas organizações adotam o que chamo de “abordagem de pulverização e oração de segurança cibernética” – sem saber o que realmente importa ou qual é o impacto actual nos negócios. Eles tentam consertar tudo, gerando desperdício de tempo, esforço e recursos. (Se quiser saber mais sobre a impossibilidade de resolver tudo, sugerimos a leitura do nosso relatório recente, The State of Publicity Administration 2024 – analisando 40 milhões de exposições, destaca como a gestão de exposições é mais complexa do que nunca.)

Imagem do e-book

Baixe o relatório para descobrir:

  • Principais conclusões sobre os tipos de exposições que colocam as organizações em maior risco de violação.
  • O estado dos caminhos de ataque entre redes locais e em nuvem.
  • Principais técnicas de ataque vistas em 2023.
  • Como se concentrar no que é mais importante e remediar os riscos de exposição de alto impacto aos seus ativos críticos.

Felizmente, o Gartner publicou recentemente uma nova estrutura, a estrutura de gerenciamento contínuo de exposição a ameaças, ou CTEM, que pode nos ajudar a ver onde e como priorizar nossos esforços com a seguinte declaração: “Os CISOs devem considerar o seguinte: Quais são os aspectos mais críticos e sistemas de TI expostos… em relação aos processos de negócios.” Leia mais sobre isso no Roteiro Estratégico 2024 da Gartner para Gerenciar a Exposição a Ameaças, de Pete Shoard. É por isso que é essencial focar nas questões que impactam os negócios. Ajuda as organizações a se tornarem mais eficazes e eficientes, garantindo melhor utilização de recursos e esforços.

Outra grande vantagem, que pode ser ainda mais importante que o benefício anterior? Ele garante que o pessoal de segurança esteja alinhado com as questões que mais preocupam a liderança sênior da sua empresa. Isto leva a uma melhor comunicação e alinhamento com os seus objetivos de negócio, ajudando a demonstrar que a segurança cibernética é muito mais do que proteger a pegada digital da organização e, em vez disso, é um verdadeiro facilitador de negócios. Ele garante que você cubra e proteja os ativos tecnológicos subjacentes aos seus processos de negócios mais importantes e garante a redução contínua de riscos com um forte ROI, relacionado aos seus ativos críticos para os negócios. Para saber mais sobre como comunicar eficazmente os riscos ao conselho e ao CEO, confira nosso e-book, Reportando riscos ao conselho, aqui.

Imagem do e-book

Baixe o guia para descobrir:

  • Os principais pontos a serem transmitidos ao relatar: O que pode ser comprometido hoje?
  • Qual é a probabilidade de isso ocorrer, o impacto potencial e o risco operacional envolvido?
  • Principais técnicas de ataque vistas em 2023.
  • Como a XM Cyber ​​fornece uma ferramenta incomparável para ajudá-lo a gerar relatórios, cristalizando a causalidade e respondendo a todas as principais perguntas sobre o risco de ativos críticos organizacionais.

Como proteger ativos críticos para os negócios

Existem quatro etapas principais quando se trata de proteger seus ativos críticos para os negócios:

Etapa 1: Identificando Processos de Negócios

Embora seja muito bom falar sobre o foco em ativos críticos para os negócios, como você realmente sabe o que é crítico para os negócios e o que não é?

Identificar os processos de negócios mais importantes pode ser um desafio se sua empresa não tiver realizado uma avaliação adequada dos riscos de negócios. Ter esses relatórios de sua equipe de gerenciamento de risco deve ser muito útil para você entender seus motivadores de negócios mais importantes e, portanto, suas maiores áreas de risco para começar.

Digamos que você não realiza uma avaliação de risco há algum tempo ou nunca. A) não é uma má ideia fazer isso e B) outra opção que é sempre um bom começo é usar a abordagem “seguir o dinheiro”:

  • Como a empresa obtém receitas (fluxo de entrada de dinheiro), por exemplo: com a venda de produtos, serviços and many others.
  • Como a empresa gasta o dinheiro (fluxo de saída de dinheiro), por exemplo: gastos com custos operacionais, advertising and many others.

A opção B servirá bem como uma descoberta inicial dos processos de negócios, juntamente com suas tecnologias subjacentes relacionadas.

Protegendo Ativos Críticos

Etapa 2: Mapear dos Processos de Negócios aos Ativos Tecnológicos

Agora que você tem uma visão melhor dos processos de negócios mais importantes, pode começar a mapear cada processo para os ativos de tecnologia subjacentes, incluindo servidores de aplicativos, bancos de dados, armazenamentos seguros de arquivos, identidades privilegiadas, and many others.

Observe que é uma boa ideia considerar os armazenamentos de arquivos que contêm os dados mais confidenciais como ativos críticos para os negócios. Depois de contabilizar todos esses ativos específicos, você poderá começar a entender verdadeiramente o que mais impacta os resultados financeiros do seu negócio.

Protegendo Ativos Críticos

Se você estiver usando uma solução como o XM Cyber, receberá automaticamente um relatório de seus ativos de tecnologia para ambientes locais e em nuvem. Caso contrário, isso pode ser alcançado com ferramentas de gerenciamento de ativos CMDB, soluções ITSM, sua solução SIEM ou, esperançosamente, documentado em algum lugar em planilhas antigas do Excel.

Protegendo Ativos Críticos

Etapa 3: Priorização

Conforme mencionado, não é possível consertar tudo, o que significa que sempre temos que priorizar tudo o que planejamos fazer para garantir o nosso negócio. Mesmo que tivéssemos em mãos uma lista completa de todas as joias da coroa, ainda assim deveríamos sempre perguntar “quais são as 3-5 principais áreas de negócios ou processos que são mais importantes?”. Este é outro caso em que você deve trabalhar em estreita colaboração com a equipe de gestão de riscos e coletar tais informações.

Além disso, outra contribuição importante viria dos principais stakeholders da empresa. Nas palavras do Gartner “Construir escopos que se alinhem com as prioridades da liderança sênior é basic para o sucesso”. Então é muito importante saber o que o C-Degree e a Diretoria estão considerando como P1-“Recreation over”, o que é P2-Alto impacto e o que consideram P3-Baixo impacto.

Passo 4: Implementando medidas de segurança

Ótimo! Neste ponto, você tem um conhecimento razoável dos principais ativos críticos para os negócios da sua empresa – muito bem! E agora é hora de mobilizar suas equipes de segurança para protegê-los. Isto envolve coletar as descobertas de segurança relevantes e gerar atividades de remediação. Mas como é impossível consertar tudo, por onde você deve começar e investir a maior parte de seus esforços?

Normalmente, você pode começar coletando os resultados relevantes da sua solução de gerenciamento de vulnerabilidades ou até mesmo dos resultados recentes do Pen-test. Eles podem servir como informações valiosas sobre os riscos em sua infraestrutura de TI e gerar outra lista de atividades de correção que você precisa priorizar agora, o que ainda pode exigir um grande esforço.

Se estiver usando uma solução como o XM Cyber, você se beneficiará do Cenário estrutura.

Cada cenário executa simulações de ataques contínuos em um escopo dedicado de ativos críticos para os negócios. Se, por exemplo, um processo de negócios importante for “Processamento de Pagamentos”, usando o Cenário você poderá responder à seguinte pergunta de negócios: “Um invasor pode potencialmente comprometer o processo de negócios de Processamento de Pagamentos?”. Cada execução de cenário produz uma pontuação de risco com descobertas de caminhos de ataque para todos os ativos críticos para os negócios. Além disso, você obterá uma lista priorizada de atividades de remediação recomendadas com o maior ROI para seus esforços.

Protegendo Ativos Críticos

Conclusão

As equipes de segurança gastam muito tempo fazendo perguntas como “Um invasor pode potencialmente comprometer o processo comercial de processamento de pagamentos?” ou “Estamos protegendo adequadamente nossos bancos de dados de CRM, armazenamentos de arquivos e usuários administradores mais confidenciais?”. Sem entender o que mais impacta o seu negócio, muitas vezes isso é um esforço inútil.

Com a metodologia descrita acima, você pode se afastar dos esforços de pulverizar e orar que diminuem a eficácia do seu programa de segurança e começar a realmente abordar o que é mais importante para o seu negócio – não apenas em termos de tecnologias, mas em termos do efeito sobre o relacionamento com o negócio principal.

Ao concentrar-se em ativos críticos para o negócio, a sua equipa tornar-se-á significativamente mais eficiente e eficaz – e melhor ainda, sinalizará ao seu C-suite e ao Conselho que o que é mais importante para eles é também a sua principal prioridade. Esta sinergia permitirá uma melhor comunicação e um melhor alinhamento de prioridades, o que é uma receita para o bom funcionamento do seu negócio.

Observação: este artigo foi escrito habilmente por Yaron Mazor Consultor Principal de Clientes da XM Cyber.

Tags
Photo of LifeTechWeb LifeTechWebMay 28, 2024
0 7 minutos lidos
Photo of LifeTechWeb

LifeTechWeb

Artigos relacionados

10 lições do ataque de ransomware à Biblioteca Britânica

10 lições do ataque de ransomware à Biblioteca Britânica

September 10, 2024
Falha do Microsoft Defender explorada para entregar ladrões de ACR, Lumma e Meduza

Falha do Microsoft Defender explorada para entregar ladrões de ACR, Lumma e Meduza

July 24, 2024
GHOSTENGINE explora drivers vulneráveis ​​para desativar EDRs em ataque de criptojacking

GHOSTENGINE explora drivers vulneráveis ​​para desativar EDRs em ataque de criptojacking

May 22, 2024
Trojan Xeno RAT de código aberto surge como uma ameaça potente no GitHub

Trojan Xeno RAT de código aberto surge como uma ameaça potente no GitHub

February 27, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button