Enquadrando frameworks de cibersegurança na sua estratégia de segurança
Qualquer que seja a cultura de uma organização, o uso eficaz de um framework de segurança requer o entendimento dos objetivos corporativos e métricas do programa e exige uma comunicação de liderança.
O desenvolvimento de novos frameworks de cibersegurança tem aumentado drasticamente nos últimos anos. Não foi há muito tempo que a escolha das estruturas se limitou à Publicação Especial NIST (SP) 800-53 ou à série 27000 da Organização Internacional de Normalização (ISO). Existe agora uma infinidade de opções potenciais que podem variar desde requisitos gerais de segurança a controles detalhados para verticais específicas da indústria. Muitas destas soluções ainda estão disponíveis gratuitamente, enquanto algumas passaram a cobrar assinaturas e programas de certificação dispendiosos. Os frameworks têm evoluído para preencher os requisitos de nicho de qualquer programa de segurança organizacional.
A vasta gama de opções disponíveis pode tornar difícil para qualquer CISO escolher o framework para a segurança de sua organização. No entanto, os fatores decisivos não são geralmente de natureza técnica. A maioria destes novos frameworks de cibersegurança têm controles e requisitos técnicos comuns. As maiores diferenças envolvem a forma como esses frameworks podem ser integrados aos objetivos corporativos globais e comunicados à liderança organizacional. Estes são os fatores decisivos na decisão dos CISOs para determinar o framework de cibersegurança que será usado nos seus programas de segurança.
Dois CISOs experientes de diferentes verticais da indústria ofereceram a sua opinião sobre como os CISOs estão escolhendo e usando esses frameworks de segurança cibernética. Paul VanAmerongen representa a UW Health, uma grande organização de saúde sem fins lucrativos, enquanto Michael Wilcox é um ex-CISO que já representou anteriormente uma empresa de produção global negociada na bolsa. As organizações que representam não poderiam ter modelos de negócio e necessidades tecnológicas mais díspares, mas ambos os CISOs abordaram a seleção de um framework de segurança cibernética para o seu programa de segurança de forma semelhante. Havia um foco comum na integração com objetivos corporativos, métricas do programa e comunicação com a liderança.
Um framework que seja aderente ao negócio
O setor de saúde vive uma transformação intensa. Esta indústria teve de ser incentivada pelo governo em 2009 a investir na conversão dos seus registos de papel para formato eletrônico. Isto impulsionou mudanças culturais e grandes aumentos nos gastos em tecnologia da informação. Estas mudanças nas despesas em tecnologia coincidiram, infelizmente, com mudanças dramáticas no reembolso dos cuidados de saúde, fazendo baixar as receitas. Esta é a realidade cultural que a maioria dos CISOs de cuidados de saúde experimentam e influencia diretamente a escolha do framework de segurança cibernética.
VanAmerongen explicou que o NIST Cybersecurity Framework se tornou popular entre muitos prestadores de serviços de saúde, uma vez que está disponível gratuitamente e é facilmente comunicado tanto para cima como para baixo na organização. Pode ser facilmente combinado com estruturas mais detalhadas, como a NIST SP800-53, e com os requisitos de conformidade regulamentar da HIPAA. Os requisitos do HITRUST Cybersecurity Framework podem ser referenciados quando é necessário um detalhe adicional. Contudo, os custos de certificação podem tornar a HITRUST uma proposta mais difícil de adotar na íntegra pelas organizações de prestadores de cuidados de saúde.
Wilcox descreveu como uma organização com ações em bolsa e operações globais enfrenta desafios completamente diferentes. O mercado industrial altamente competitivo é incentivado a reduzir os custos a fim de manter as margens de lucro. A tecnologia foi adotada muito mais cedo do que nos cuidados de saúde para impulsionar a eficiência na produção e gestão da cadeia de fornecimento. A pressão sobre os lucros trimestrais e o crescimento, expectativas constantes deste mercado, dirigem a tomada de decisões comerciais. O CISO neste tipo de organização deve estar consciente desta cultura e ao mesmo tempo considerar como satisfazer todas as diferentes regulamentações de segurança e privacidade dos países onde faz negócios em todo o mundo.
A natureza internacional do framework da ISO 27001 é um grande ajuste neste tipo de situação, especialmente se a organização já adotou a ITIL para a gestão de serviços de TI. As indústrias já estão familiarizadas com as normas de qualidade ISO 9000, e a ISO 27001 pode ser incorporada à organização como uma melhoria da qualidade para a segurança da informação. Este framework é globalmente reconhecido e facilmente traduzido para outros frameworks e exigências regulamentares. Pode fornecer a base para a criação inicial de políticas de segurança da organização que definirão os padrões para o desenvolvimento da segurança. Pode também ser utilizado para construir a base de um programa GDPR, embora devam ser acrescentados requisitos adicionais de privacidade para uma conformidade total com a GDPR.
Usando frameworks de cibersegurança em planos estratégicos
Um framework de cibersegurança pode ser essencial no planejamento estratégico dos departamentos de segurança da informação, de acordo com os dois CISOs entrevistados. "A utilização de um framework de cibersegurança facilita a condução do programa e a definição da visão", disse VanAmerongen. Os frameworks fornecem uma lista pré-construída de requisitos de segurança para a realização de uma avaliação inicial das falhas. Os programas de segurança podem inventariar as suas capacidades atuais e compará-las com uma estrutura para começar a construir um roteiro personalizado para a sua organização. Estes roteiros são depois personalizados de acordo com o modelo empresarial e o nível de maturidade atual.
A estrutura incluída num framework de segurança pode ser utilizada como primeiro passo para definir o framework de política de segurança para a organização.
Há frequentemente uma diferença de opinião sobre a criação de políticas antes de os controles serem postos em prática. Alguns as enxergam como ambições, enquanto outros estão preocupados em declarar a existência de controles de segurança que ainda não estão em vigor. Contudo, as políticas podem ajudar a reforçar a estratégia global de segurança e ajudar a definir requisitos operacionais em curto prazo. O framework pode ser utilizado como base para o desenvolvimento de uma estratégia de segurança da informação que não mude tanto como as outras coisas no kit de ferramentas do CISO.
Comunicação com a liderança
Uma das maiores vantagens na seleção de um framework de cibersegurança é que ele proporciona uma base de comunicação com a liderança organizacional. Ambos os CISOs entrevistados concordaram que o Framework de Segurança Cibernética da NIST é especialmente adequado para esta tarefa.
A estrutura do NIST ajuda a comunicar os cinco requisitos principais aos conselhos e outros executivos.
"Acho que o NIST Cybersecurity Framework é ... bom para usar com o nível de direção e executivos", disse Wilcox. "As cinco seções tornam fácil de explicar e compreender. Depois pode mapeá-lo tecnicamente para qualquer outra estrutura que oriente as suas políticas" e os investimentos apropriados. Por exemplo, é fácil explicar que uma organização pode não cumprir totalmente os requisitos do Framework de Segurança Cibernética NIST Detectar, se não investir num SIEM para agregar dados de monitoração.
A ISO 27001 pode ser um pouco mais difícil de navegar neste aspecto, de acordo com Wilcox. Um CISO poderia ficar num beco sem saída, disse Wilcox, tentando explicar os numerosos requisitos. Pode tornar-se muito confuso para qualquer pessoa fora da equipe de segurança da informação se o CISO entrar neste nível de detalhe. A ISO 27001 ainda pode ser utilizada como plataforma para comunicar falhas nos serviços do programa de segurança da informação, tais como o exemplo SIEM acima. Apenas requer mais refinamento do CISO para entregar a mensagem num formato resumido à liderança.
Gestão dos impactos operacionais das estruturas de cibersegurança
A comunicação junto a equipe de segurança sobre como operacionalizar um framework de cibersegurança foi um ponto essencial destacado por ambos os CISOs. Pode ser fácil para uma equipe de segurança se distrair com os pormenores dos requisitos definidos pelo framework e concentrar-se nos riscos que a organização já aceitou, a menos que devidamente enquadrados pelo CISO, segundo VanAmerongen. As equipes de segurança tendem a ser minuciosas. "Todos querem fazer um bom trabalho, mas este pode exceder o que a organização acredita", disse VanAmerongen.
Os CISO podem assumir erroneamente que a sua equipe de segurança compreende o framework devido aos seus conhecimentos técnicos e experiência. Isto pode deixar a equipe de segurança sem saber onde concentrar as suas prioridades, disse Wilcox. A chave é comunicar o valor do framework à equipe de segurança, alinhando os requisitos às iniciativas empresariais.
"O alinhamento com as iniciativas empresariais é crítico", disse Wilcox. "Agora tem valor acrescentado para os acionistas e começa a adiciona-lo em operações. É preciso aumentar o seu programa de sensibilização e a forma como se alinha com os valores da empresa". A segurança da informação pode tornar-se uma vantagem competitiva e um diferencial de mercado quando integrada às iniciativas de qualidade de produto existentes. O quadro de segurança acrescenta então valor aos acionistas e torna-se integrado à operação. O alinhamento com as iniciativas empresariais manterá também a atenção dos executivos centrada no programa de segurança.
Frameworks de segurança cibernética pagos vs. gratuitos
O valor de uma certificação paga contra um framewok de cibersegurança de padrão aberto depende da vertical de mercado da organização, incluindo requisitos regulamentares e contratuais. "O framework precisa integrar-se ao programa de segurança e não ser apenas um exercício de segurança 'check-box'", disse Wilcox. É muito mais importante que o programa de segurança mostre uma melhoria contínua. A certificação tem valor para os prestadores de serviços que precisam demonstrar uma revisão por terceiros do seu programa de segurança. No entanto, tanto Wilcox como VanAmerongen disseram acreditar que não é necessário gastar dinheiro num framework para melhorar a segurança da informação organizacional.
Medindo o ROI das estruturas de cibersegurança
É extremamente difícil medir o retorno do investimento em despesas de segurança da informação. Uma melhor medição pode ser a redução de custos devido aos controles de segurança implementados por meio da adoção de estruturas de segurança cibernética. Poderá ser necessário complementar o framework de cibersegurança com um registo de riscos empresariais, a fim de mostrar os riscos que foram evitados ou mostrar ganhos de produtividade, de acordo com Wilcox.
VanAmerongen explicou que é importante para um CISO utilizar os roteiros definidos pelas avaliações de falhas comparando o atual programa de segurança com o framework de segurança cibernética. Estes roteiros podem ser utilizados em conversas contínuas com a direção e o conselho sobre o nível desejado de investimento em iniciativas de segurança da informação. Os requisitos do framework podem então ser implantados em diferentes níveis, dando à organização flexibilidade no investimento em segurança da informação.
Efeitos sobre a produtividade
VanAmerongen disse que haverá sempre um trabalho de alinhamento de políticas a ser feito independente do framework que a organização escolher. É importante que um CISO valide que os atuais controles de segurança funcionem da forma como foram concebidos. A chave para limitar o impacto na produtividade da organização de segurança é utilizar uma ferramenta de governança, risco e conformidade para proporcionar automatização e uma linha de base para comparação. Os avaliadores externos identificarão diferentes áreas para melhorar a conformidade HIPAA ou NIST. Uma ferramenta que acompanhe a implantação de controles de segurança tornará mais difícil para estes avaliadores encontrar falhas que ainda não tenham sido identificadas.
Wilcox está menos preocupado com a produtividade do que com as políticas de segurança da informação se tornarem documentos estáticos. A sua abordagem é procurar o envolvimento de áreas fora da segurança da informação e incluir equipes de toda a empresa. Ele identificou stakeholders de múltiplas áreas onde a política de segurança da informação afetava diretamente as operações e poderia afetar a produtividade. O departamento de recursos humanos foi um bom exemplo, uma vez que muitos dos requisitos de rastreio dos funcionários seriam definidos nas políticas de segurança da informação. Estes departamentos puderam então trabalhar com a segurança da informação na definição dos processos menos impactantes para alcançar o controle de segurança desejado. O efeito secundário foi que os departamentos tinham agora alguma propriedade na política, o que ajudou a impulsionar o seu cumprimento.
Potencial para diminuir o número de violações de dados
O objetivo geral de qualquer framework de cibersegurança é reduzir o risco de incidentes de segurança da informação que resultem em violações de dados, ataques de ransomware, fraude de correio eletrônico, destruição de dados e outros eventos. Os frameworks de cibersegurança estão disponíveis há muitos anos e, no entanto, o número de violações de dados reportadas só aumenta. Os CISOs precisam se certificar de que existe um esforço extra na construção de um programa de segurança para além da simples adopção de um framework. "Ter um framework não significa que se tenha realmente um nível de maturidade adequado para todos os controles nesse framework”, alertou Wilcox. Os CISOs devem validar continuamente os seus controles de segurança para verificar se ainda são apropriados num ambiente em rápida mudança.
Não há desvantagens na adoção de um framework de segurança cibernética. No entanto, um CISO deve ainda ser capaz de demonstrar progressos medidos em relação aos requisitos do framework de segurança ao longo do tempo. Pode levar de três a cinco anos até o programa de segurança da informação atingir o nível de maturidade desejado. Os frameworks que fornecem ferramentas para ajudar a medir este progresso podem ser mais eficazes na redução da tendência atual de grandes violações de dados. A implantação de qualquer quadro de cibersegurança é uma longa jornada que trará benefícios para toda organização que os adotem durante muito tempo.