Conscientização e preparação para a cibersegurança
Para ajudar sua organização a se manter segura e competitiva, o Conselho de Administração deve desenvolver uma melhor conscientização e preparação para a segurança cibernética. Se você for membro do conselho, considere contar com seu Diretor de segurança da informação (CISO) para ajudar você a estabelecer uma mentalidade que prioriza a segurança e se manter informado sobre ameaças emergentes e tendências de segurança cibernética. Comece a discussão fazendo estas seis perguntas-chave ao seu CISO.
1. Quem é o proprietário da segurança?
Ter uma cultura de propriedade que priorize a segurança pode desempenhar um papel importante na redução do risco cibernético da organização. Avalie se toda a organização está ciente de que a segurança é um pilar dos negócios. Há um senso de propriedade da segurança em cada funcionário, independentemente da função? A liderança reforça a cultura de segurança ao tomar decisões orientadas pela segurança?
► Assista agora: Quem é dono do quê? Propriedade e responsabilidade de segurança na AWS
2. Quais ameaças a organização enfrenta?
Como membro do conselho, você está ciente das ameaças atuais à segurança cibernética e de como a empresa está preparada para se defender contra elas? Caso contrário, talvez seja hora de construir um relacionamento mais próximo com o CISO. Caso não seja ainda uma prática recorrente, peça ao CISO que informe regularmente o conselho sobre as prioridades de segurança cibernética da organização. O CISO deve estar preparado para discutir essas prioridades em termos comerciais que enfatizem o risco, a resiliência e a reputação da organização, em vez de detalhes técnicos.
3. Quem tem acesso aos dados da empresa?
Os dados são o recurso mais precioso da organização. Se não estiverem adequadamente protegidos em todos os momentos e em todos os lugares, poderão colocar clientes e funcionários em risco. É por isso que é essencial que a empresa monitore e gerencie as permissões de acesso, garantindo que os funcionários só possam acessar dados essenciais para sua função. O gerenciamento do acesso reduz o número de pessoas que poderiam expor dados confidenciais, enquanto o monitoramento do acesso permite que a organização de segurança detecte exposições de dados mais cedo e com maior precisão.
► Leia o relatório: Segurança de dados como um acelerador de negócios
4. Quais são os ativos mais valiosos da organização?
O gerenciamento de acesso com privilégios mínimos depende totalmente de como a organização classifica seus dados. A empresa deve avaliar seus ativos regularmente para garantir que os dados mais confidenciais sejam classificados corretamente e restritos somente àqueles com as mais altas permissões de segurança.
5. Quais camadas de proteção a empresa tem em vigor?
Para que seja eficaz, a segurança deve ser um programa multifacetado com várias camadas de proteção. Considere como a organização protege sua infraestrutura, dados, aplicações, e-mails, edifícios físicos, data centers e até mesmo modelos de desenvolvimento e treinamento de IA. Todas essas são camadas de segurança podem aumentar a resiliência da empresa se estiverem bem protegidas ou colocá-la em risco se não estiverem.
6. A organização está preparada para responder a um evento de cibersegurança?
Testes regulares de resposta a incidentes são essenciais para garantir que todos saibam como reagir caso um evento real ocorra. Sua organização estará preparada para a realidade? Os planos de resposta a incidentes já estão em vigor ou ainda precisam ser criados? Os funcionários praticaram o plano de resposta a incidentes o suficiente? Qual é o papel do conselho nesses planos?
► Assista agora: Gerenciamento de vulnerabilidades em um cenário de segurança de dia zero
