5 perguntas para fazer ao seu profissional de segurança cibernética

Quase semanalmente, ouvimos sobre outra empresa ou organização que foi vítima de um ataque cibernético. Sabemos que os cibercriminosos são mais persistentes e precisamos ser mais diligentes na proteção das informações.

Acho que em nossa vida pessoal a maioria de nós está tentando ser mais cuidadosa. Já se foram (espero) os dias em que definíamos cada uma de nossas senhas pessoais como 123456. Ainda assim, não parecemos ter o mesmo nível de preocupação no escritório. Como nosso profissional de TI certamente controla nossa segurança cibernética, não devo me preocupar ... certo?

O fato é que nós, como funcionários, desempenhamos um papel vital na proteção da empresa para a qual trabalhamos, e basta um clique errado para comprometer um negócio. Um estudo recente da Willis Towers Watson descobriu que 90% das reclamações de incidentes cibernéticos resultam de algum tipo de erro ou comportamento humano. Aqui estão cinco perguntas e respostas para ajudar a orientá-lo em sua jornada para tornar sua empresa mais segura.

1. Quais são os principais riscos cibernéticos que minha empresa enfrenta?

O risco de uma empresa varia consideravelmente com base em seu ambiente operacional exclusivo, portanto, há muitas coisas a avaliar e considerar.

Você tem muitos funcionários que usam e-mail? Spear phishing pode ser um grande risco para você. Todos os dispositivos com endereço IP em sua fábrica estão protegidos? Do contrário, códigos maliciosos, acesso e uso não autorizados ou exfiltração de dados podem ser os principais riscos.

A realização de avaliações de risco de segurança cibernética deve ser uma parte fundamental do programa de gerenciamento de segurança da informação de sua organização. Todos sabem que há algum nível de risco envolvido quando se trata de dados, ativos de informação e instalações de informações críticas e seguras de uma empresa. Mas como você quantifica e se prepara para esse risco de segurança cibernética? O objetivo de uma avaliação de risco de segurança de TI é determinar quais riscos de segurança os ativos críticos de sua empresa enfrentam e saber quanto financiamento e esforço deve ser usado para protegê-los.

O NIST Risk Management Framework (RMF) é um ótimo recurso para começar. O RMF fornece uma abordagem estruturada, mas flexível, para gerenciar a parte do risco resultante dos sistemas que sua empresa pode controlar e dos processos de negócios de sua organização.

2. Posso usar um gerenciador de senhas?

Embora usar um gerenciador de senhas para suas contas online pessoais seja uma ótima maneira de se manter seguro, lembre-se de verificar as políticas da sua empresa antes de usar qualquer software no trabalho.

Os gerenciadores de senhas podem ajudá-lo a armazenar suas senhas e também a gerar senhas exclusivas para cada site. No entanto, manter todas as suas senhas em um só lugar é arriscado. É importante entender como suas senhas são protegidas e se estão criptografadas. Existem vários produtos comerciais disponíveis que funcionam com vários dispositivos e navegadores, portanto, pesquise para encontrar aquele que melhor atenda às suas necessidades.

3. Minha empresa está em conformidade com as principais estruturas ou padrões de segurança da informação e precisa?

Proteger sua propriedade intelectual e informações confidenciais de clientes e funcionários pode dar a você e aos seus clientes paz de espírito. Também é uma boa prática de negócios quando você olha para o impacto financeiro, diminuição da produtividade e perda de confiança que um ataque cibernético pode custar a você.

Para as empresas da cadeia de suprimentos do Departamento de Defesa (DoD), essa proteção é uma necessidade absoluta. Essas empresas são obrigadas a atender aos padrões mínimos de segurança do Defense Federal Acquisition Regulation Supplement (DFARS) ou correm o risco de perder seus contratos do DoD.

Aqui estão vários exemplos de estruturas ou padrões de segurança que podem ajudá-lo a compreender e reduzir seu risco:Estrutura de segurança cibernética NIST, NIST SP 800-53 - Controles de segurança e privacidade para sistemas de informação e organizações, o manual de autoavaliação de segurança cibernética NIST MEP e o Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS). É fácil ficar confuso sobre qual documento você deve consultar, então aqui estão mais algumas informações sobre cada um:

• O Framework é mais de alto nível (e mais conciso) em comparação com o NIST SP 800-53, que é um catálogo de controles de segurança e privacidade. A Estrutura é mais gerenciável para executivos e tomadores de decisão que podem não ter formação técnica. Ele também se concentra em como avaliar e priorizar as funções de segurança e faz referência a documentos existentes como o NIST SP 800-53, que é melhor usado pela equipe técnica que implementará a segurança e pode compreender suas informações mais detalhadas sobre quais controles selecionar e implementar.
• O manual de autoavaliação de segurança cibernética do NIST MEP ajudará sua empresa a cumprir os requisitos de segurança do NIST SP 800-171 em resposta aos requisitos de segurança cibernética do DFARS. O manual fornece um guia passo a passo para avaliar os sistemas de informação de um pequeno fabricante em relação aos requisitos de segurança do NIST SP 800-171 rev 1, "Protegendo Informações Não Classificadas Controladas em Organizações e Sistemas Não Federais".

• O padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS) é um conjunto amplamente aceito de políticas e procedimentos destinados a otimizar a segurança de transações de cartão de crédito, débito e dinheiro. O PCI DSS foi criado em 2004 pela Visa, MasterCard, Discover e American Express. Manter a segurança do pagamento é necessário para todas as empresas que armazenam, processam ou transmitem os dados do portador do cartão. A violação ou roubo dos dados do portador do cartão afeta todo o ecossistema do cartão de pagamento. Alguns exemplos de impactos para a sua empresa são a perda de confiança do cliente, vendas reduzidas, perdas por fraude, custos legais, multas e cancelamento da capacidade de aceitar cartões de pagamento. Manter a conformidade com o PCI DSS é vital para o sucesso a longo prazo de uma empresa que processa pagamentos com cartão e mantém defesas cibernéticas prontas contra ataques que visam o roubo de dados do titular do cartão. A maioria das pequenas empresas pode usar uma ferramenta de autovalidação para avaliar seu nível de segurança dos dados do titular do cartão.

4. O que é autenticação de dois fatores e como faço para ativá-la? Por que as senhas não são boas o suficiente?

A autenticação de dois fatores (2FA) é uma camada extra de segurança usada para garantir que você seja quem diz ser. O problema é que nomes de usuário e senhas por si só são adivinhados facilmente e as pessoas usam as mesmas senhas para vários sites. Incidentes divulgados publicamente revelam que 5.518 registros vazam a cada minuto.

A 2FA impede que outras pessoas tenham acesso fácil às suas contas. Quando 2FA está habilitado, você insere seu nome de usuário e senha na página de login. Então, em vez de obter acesso imediato, você deverá fornecer outra informação. Este segundo fator pode ser um dos seguintes:

• Algo que você saiba - um número de identificação pessoal (PIN), senha longa ou respostas a perguntas secretas.
• Algo que você possui - um cartão de crédito, cartão-chave, smartphone, token de hardware ou software ou notificação do site.
• Algo que você é - um padrão biométrico de impressão digital, leitura da íris ou impressão de voz.

Se você não tiver certeza se seus sites ou aplicativos têm 2FA, visite TwoFactorAuth.org para descobrir.

Ligue 2FA para todas as contas. Consulte as instruções passo a passo da Telesign para ativar o2FA:https://www.turnon2FA.com.

5. Existe um processo de aprovação para adquirir aplicativos que considero útil para o meu trabalho?

A maioria das empresas tem políticas sobre como comprar software (em caixa / online ou hospedado externamente na nuvem). É importante saber quais aplicativos você pode usar imediatamente e quais podem precisar de investigação adicional para garantir que sejam seguros o suficiente para seu uso e os dados que serão processados ​​e / ou armazenados neles. Saiba o que é necessário e trabalhe com seu profissional de segurança cibernética para passar pelos processos necessários para garantir que as informações sejam protegidas de maneira adequada.

Se quiser entender melhor o risco de segurança cibernética, você pode usar a Rede Nacional MEP ^TM Ferramenta de autoavaliação da cibersegurança. Se você tiver dúvidas ou quiser falar com um profissional de segurança cibernética, entre em contato com o MEP National Network Center local.