Racionalizando seu orçamento de segurança cibernética para maximizar o Retorno de Investimento - ROI

A segurança cibernética consome uma parte significativa dos orçamentos das organizações. Como algumas das marcas mais confiáveis ​​sofreram violações de dados nos últimos dois anos – incluindo Intel, Yahoo, Macy´s, Adidas, Sears, Delta Airlines e Best Buy, para citar algumas, muitas organizações tem se questionado: seremos os próximos? Estamos investindo o suficiente para proteger dados, usuários, marcas e continuidade de negócios?

A maioria já está pagando muito. A publicação CSO on-line fez parceria com a Divisão CERT do Instituto de Engenharia de Software da Universidade Carnegie Mellon e o Serviço Secreto dos EUA, entre outros, para avaliar as tendências de segurança cibernética. O estudo relatou que 59% das organizações viram os orçamentos de segurança aumentar em 2018, com o orçamento anual médio de segurança de TI em US $ 15 milhões [1], com os gastos mundiais em segurança de dados chegando a US $ 124 bilhões em 2019, segundo o Gartner.

Além disso, de acordo com a Cisco e a Cybersecurity Ventures, o mercado de segurança cibernética deverá continuar crescendo em 12-15% ano a ano até 2021 [2].

O que dá para fazer?

Apesar dos enormes investimentos em segurança, as violações ainda ocorrem, e os orçamentos maiores não estão necessariamente comprando melhor segurança. Na verdade, “… a maioria das organizações – mesmo algumas com orçamentos de segurança de nove dígitos – não tem ideia de quão efetivas em termos operacionais são suas tecnologias de segurança”, diz o analista de destaque da empresa, Anton Chuvakin.

Esses números sugerem que as organizações não podem medir a força da postura de segurança em quanto gastam. De acordo com Paul Proctor, vice-presidente do Gartner, perguntar a colegas do setor quanto eles estão gastando em segurança cibernética “não é útil, porque há organizações que estão gastando uma tonelada em segurança cibernética e têm posturas de risco muito ruins e há outras que não estão gastando tanto dinheiro e eles têm muito boas posturas de risco. O ponto principal saber sobre o seu nível de prontidão. “[3]

Então, como você avalia a prontidão de segurança?

Avaliar a prontidão de uma perspectiva de atacante

Um novo tipo de tecnologia, a simulação de violação e ataque (BAS), não apenas testa a eficácia dos controles de segurança já implementados, mas também atribui pontuações de risco ao BAS dependendo de como e como estão funcionando. A plataforma BAS da Cymulate testa a capacidade de sua infraestrutura de lidar com ameaças em toda a cadeia, desde ameaças pré-exploração, como e-mail e drive-by-downloads, até atividades de exploração, como comprometimento do endpoint, as atividades pós-exploração e avalia a conscientização dos funcionários sobre técnicas de phishing e engenharia social. Pela primeira vez, você pode quantificar os níveis de vulnerabilidade em todos os vetores de ataque sem afetar negativamente seu ambiente de produção. A plataforma BAS da Cymulate permite-lhe responder a questões críticas ao avaliar a disponibilidade da sua organização para lidar com um ataque cibernético:

  1. O que já está implantado e como tudo funciona?
    Use a plataforma BAS para testar a eficácia dos controles de segurança existentes, em qualquer um ou todos os vetores de ameaça. O teste de funcionalidade e eficácia fornece dados consistentes e quantificáveis ​​na forma de uma métrica de risco, independentemente das marcas de fornecedores implantadas para proteger contra vários vetores de ataque.
  1. Como seus controles se comportam contra vulnerabilidades não-CVE (Common Vulnerabilities Exposures)?
    Certifique-se de testar cenários que imitam o comportamento de um malware real, em toda a cadeia de ataque, incluindo várias técnicas, táticas e práticas de ataque. Por exemplo, as ferramentas de avaliação de vulnerabilidades verificam os sistemas quanto a vulnerabilidades publicadas e conhecidas e verificam se os patches e atualizações estão ausentes dos vários softwares. A plataforma BAS leva a garantia de controle de segurança um passo adiante, verificando a capacidade do seu arsenal de segurança de resistir a ameaças que aproveitam a configuração incorreta da ferramenta e as falhas de segurança nos recursos legítimos do programa.
    O teste da plataforma BAS não é o mesmo que a auditoria de controle para conformidade. As auditorias de controle asseguram que os controles estejam presentes, mas não avaliam sua eficácia contra ameaças reais. O BAS se concentra nos resultados – identificando como os controles respondem diante do comportamento do invasor. Uma medida de risco quantificável é atribuída a cada teste, para que você possa ver facilmente falhas ou fraquezas de segurança.
  1. O que você deve priorizar e por quê?
    Agora você está pronto para tomar decisões de alocação de orçamento com base em dados quantificáveis. Todas as empresas devem definir níveis aceitáveis ​​de tolerância a riscos em diferentes áreas, mas os resultados obtidos pelo BAS permitem priorizar os esforços de orçamento e mitigação com base em uma pontuação de risco que leva em conta o impacto potencial de uma ameaça em uma organização, a probabilidade de encontrá-la no primeiro lugar e sua taxa de sucesso de infecção.

Mantenha-se um passo à frente

Quando você investe na plataforma BAS da Cymulate como parte de sua estratégia de segurança cibernética, ela permite aumentar a agilidade e promover pro ativamente a postura de segurança da organização. Os atores de ameaças mudam. Superfícies de ataque mudam. Ao contrário do custosos PEN Testing anuais, que fornece apenas um instantâneo limitado, a plataforma BAS permite avaliar com precisão a postura de segurança a qualquer momento e alocar orçamento e talento onde for mais necessário. Talvez você possa ter um pouco mais de paz de espírito.

Para saber mais sobre a plataforma BAS da Cymulate, acesse no nosso site: https://www.trescon.com.br/cyber_security/.

[1] 2018 U.S. State of Cybercrime, IDG, Oct. 18, 2018, https://www.idg.com/tools-for-marketers/2018-u-s-state-of-cybercrime/
[2] 2019 Cybersecurity Almanac: 100 Facts, Figures, Predictions And Statistics, https://cybersecurityventures.com/cybersecurity-almanac-2019/
[3] The role cybersecurity should play in 2019 IT budget planning, ZDNet, September 4, 2018, https://www.zdnet.com/article/the-role-cybersecurity-should-play-in-2019-it-budget-planning/

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages