Por que as auditorias de segurança cibernética são essenciais para o gerenciamento de riscos

Descubra o que sua empresa pode arriscar ao não obter auditorias de segurança cibernética.

O escritor colaborador da TechRepublic, Lance Whitney, informou em dezembro de 2020 que a empresa de segurança McAfee estimou que o cibercrime custaria ao mundo US$ 1 trilhão no ano ado. Quando se trata de segurança cibernética, é difícil melhorar qualquer coisa se o que já existe é um mistério.

Steven Wertheim, presidente da SonMax Consultants, em seu artigo do A Journal Auditing for Cybersecurity Risk defende fortemente que a auditoria deve fazer parte de todos os programas de defesa de segurança cibernética. Antes de Wertheim explicar como a auditoria pode ajudar, ele analisa os problemas que podem ser causados ​​quando a auditoria não está em vigor.

VEJO: Lista de verificação: avaliação de risco de segurança (TechRepublic )

Riscos potenciais de segurança cibernética de não realizar uma auditoria

Compreensão inadequada dos riscos: Wertheim está preocupado que os responsáveis ​​pela segurança cibernética de uma empresa não estejam cientes do nível de risco de segurança cibernética da organização nem saibam onde os dados críticos relacionados aos negócios estão armazenados. E, de acordo com Wertheim, “…se eles [auditors] não sabem onde residem os dados críticos, como podem medir e relatar efetivamente o risco do cliente, especialmente no caso de pequenas e médias empresas?”

Monitoramento inadequado: Wertheim acredita que há uma falta fundamental de análise e avaliação de risco devido à falta de compreensão nas seguintes áreas:

• Por que as ferramentas de segurança cibernética fornecem e crítico;

• quais áreas da infraestrutura de dados representam o maior risco para o negócio; e

• como mitigar os riscos associados.

Falta de testes: Se as organizações têm um Plano de Resposta a Incidentes (IRP) em vigor, é necessário garantir que o programa reflita o ambiente de negócios atual da empresa, responsabilidades, requisitos regulamentares e equipe. Wertheim sugere: “Muitas vezes, as empresas acabam com vários pontos de falha em seus planos; ao não testar seus planos regularmente, as organizações não têm como validar sua eficácia ou remediar suas fraquezas”.

VEJO: Política de resposta a incidentes (TechRepublic )

Falta de e de terceiros: A preocupação é que os funcionários da empresa conheçam o negócio e tomem atalhos lógicos, enquanto os fornecedores terceirizados fornecerão uma visão imparcial do problema. “As suposições quase nunca correspondem à realidade, no entanto, exacerbando o impacto do incidente”, escreve Wertheim. “O terceiro não conhece o negócio e por isso deve seguir a documentação e os processos definidos.”

Falta de envolvimento da auditoria: Como defensor da auditoria, Wertheim acredita firmemente que a única maneira de desenvolver uma imagem clara do risco é contratar uma empresa de auditoria independente. “O fator humano sustenta grande parte do risco que permite ataques cibernéticos e permite que eles tenham sucesso, e o faz em ambos os lados. Tanto os invasores quanto os internos da empresa cujos erros permitem violações bem-sucedidas são humanos”, afirma Wertheim.

O que considerar com soluções de segurança cibernética

Viver com a ameaça de ataques cibernéticos agora é uma parte normal dos negócios. Wertheim não minimiza a importância das medidas de segurança cibernética mais reconhecidas, como as seguintes:

• Um programa estruturado de resposta a incidentes;

• garantias de que o equipamento e o software estão atualizados e a correção ocorre em tempo hábil;

• a implementação de um sistema de monitoramento efetivo e ativo; e

• um IRP que é auditado regularmente.

Em seguida, Wertheim se concentra em como uma empresa de auditoria independente pode melhorar significativamente a postura de segurança cibernética de uma empresa.

Espere responder a esta pergunta: A pergunta mais importante que um auditor deve fazer aos clientes é: onde estão seus dados mais críticos? “Se a istração não for capaz de responder a essa pergunta de forma simples, isso é um problema”, acrescenta Wertheim.

Garanta recursos adequados: Uma equipe de resposta a incidentes com equipe adequada deve ter partes interessadas e representantes de todas as partes do negócio. “Além disso, nunca deve haver um único ponto de falha em qualquer aspecto da resposta a incidentes”, aconselha Wertheim. “A única maneira de fazer com que as organizações entendam o impacto desses riscos é fornecer treinamento.”

Atualize o entendimento dos riscos: A auditoria de risco não é um esforço único – ela precisa ocorrer regularmente e se concentrar na identificação de todos os riscos e, em seguida, decidir quais são os mais críticos. Um exemplo oferecido por Wertheim é o uso de senhas, que devem ser substituídas pela autenticação multifator.

Faça uma auditoria física: Nem todos os ataques começam usando táticas cibernéticas – garantir que a planta física esteja segura e que as pessoas sejam treinadas para manter a segurança física é tão importante quanto a segurança cibernética.

Obtenha e adequado de terceiros: Isso é importante o suficiente para Wertheim mencionar duas vezes – primeiro como uma falha e agora como um requisito de auditoria. “Estabeleça um acordo de retenção com um ou mais consultores forenses ou de resposta a incidentes”, explica ele. “Ter uma visão independente e objetiva é um elemento crítico no desenvolvimento de uma imagem completa do incidente. Trabalhe com o fornecedor terceirizado para realizar uma auditoria de segurança anual.”

VEJO: Seja proativo: 3 etapas de gerenciamento de risco a serem seguidas antes de um ataque cibernético (TechRepublic)

Pensamentos finais

Wertheim acredita fortemente que a auditoria tem um papel significativo a desempenhar quando se trata de proteger os ativos digitais de uma organização. Se pensarmos sobre isso, saber o que está em vigor e o que não é seguro por meio de auditoria parece lógico.