Um golpe de ciberataque pode ser devastador. Há a violação e, então, as despesas de reparação que vêm com ela. Não deve ser um impulso de última hora após uma violação para implementar um plano abrangente de resposta a incidentes (IR). E quando esta estratégia de IR inclui seguro, também deveria contemplar o nível de risco cibernético de uma organização.
Um estudo de 2021 da NetDiligence examinou mais de 5.700 reivindicações e confirmou que as empresas com faturamento abaixo de US$ 2 bilhões sofreram um custo médio de US$ 354.000 para lidar com a questão. Por outro lado, grandes corporações gastaram, em média, mais de US$ 16 milhões para gerir o problema.
A questão de custo é abordada quando se incluem os pagamentos de reembolso no cálculo, o que pode resultar em um aumento significativo dos pagamentos de indenização de seguro. Como era de se esperar, essa tendência tem incentivado muitas seguradoras de responsabilidade cibernética, bem como firmas de advocacia especializadas em violação de dados, a estimular seus clientes a aprimorar seus controles de segurança cibernética e buscar relações mais formais com empresas de investigação digital e resposta a incidentes.
Para a maioria, um retentor IR irá oferecer uma conexão formal para proteger a empresa caso as coisas piorem. Ela fornece a empresa com uma resposta rápida ao seguir um SLA pré-estabelecido e impede possíveis atrasos na tomada de decisões legais e financeiras em caso de emergência. É extremamente útil em uma crise, mas tem um valor limitado quando a organização consegue se abster de tais incidentes.
Retentores de IR não devem ser tratados somente como alguma medida de precaução.
Enquanto a maioria das companhias trata a fortificação de seus controles e a busca por um retentor de RI como projetos diferentes, o melhor resultado seria alcançado se ambos fossem abordados sob um verdadeiro “retentor de risco cibernético”. Os retentores puramente de RI usualmente não oferecem flexibilidade para os líderes de segurança para aproveitar o investimento, mas sendo permitido usar recursos para preparação, testes, simulações, etc., o risco cibernético pode ser mitigado. Existem três fatores-chave para conseguir um eficaz retentor de risco cibernético: negociação, estruturação e execução.
Um: Negociar de forma aberta e clara
Descubra uma empresa com vasta experiência além do IR. Eles têm conhecimento sobre como preparar incidentes, como a realização de exercícios de mesa, simulações de violação e ataque, treinamentos de equipe vermelha, etc.?
Se forem detectadas deficiências nos seus fundamentais sistemas de segurança (por exemplo, MFA, backups, higiene de e-mail), a empresa teria a capacidade de prestar assistência? Se ocorrer uma violação de dados confidenciais, a empresa seria capaz de auxiliar em relação às obrigações de notificação? Cobririam as taxas de retenção?
Assim que você determinar um conjunto inicial de empresas que podem cumprir os critérios, pode ser útil inquirir qual o tipo de embarque é necessário. Empresas experientes irão efetuar o processo completo de instrução sobre o programa de segurança de TI do cliente, incluindo as políticas e diretrizes que eles possuem, bem como para obter uma perspectiva geral do seu cenário de TI. Isto leva-nos ao passo número 2, onde a diversão começa com retentores de estruturação segundo os requisitos-chave.
Dois retentores estão em vigor para assegurar a estrutura de acordo com a estratégia de segurança.
O início da organização do retentor implica na determinação da atribuição mais eficaz dos empréstimos do retentor.
Uma projeção de custo deve ser feita para cenários comuns de IR (tais como ransomware e Business Email Compromise) e a quantia será uma porcentagem do retentor.
A reserva do retentor deve ser direcionada para a estratégia de segurança. Por exemplo, se a empresa estiver se transferindo para a nuvem e precisar implantar o MFA no diretório ativo do Azure. Parte do retentor poderia ser destinada para testes de penetração que ajudariam a identificar vulnerabilidades no MFA. Simulações e exercícios de mesa específicos para a indústria e/ou para o apetite de risco também devem ser realizadas para garantir que todos os executivos, equipes de relações públicas e a conformidade estejam preparados caso o pior aconteça.
Executa com a direção do teu companheiro de manutenção.
Trabalhando em conjunto com os especialistas em retenção de risco cibernético é a melhor maneira de garantir que se sua organização esteja preparada para lidar com as ameaças atuais. Estabelecer contato contínuo com a equipe de retentores pode fornecer o conhecimento necessário para identificar e analisar problemas de segurança complexos enfrentados por organizações. Além disso, ajuda a direcionar o investimento para áreas que apresentam maior vulnerabilidade aos atores de ameaça.
Com a maioria das equipes de infosegurança abaixo do nível crítico, aqueles em sua equipe de retenção podem se tornar um recurso de grande valor para ajudar e dar prioridade a questões cruciais de resiliência de segurança digital.
As equipes de retentores têm a oportunidade de agir como gerentes de projeto ao contribuir para tornar as empresas mais seguras. Eles são capazes de reunir as partes interessadas, elaborar as comunicações pertinentes e obter as autorizações necessárias.
Ao encorajar as companhias a empregarem seus créditos de retenção em serviços preventivos, a resistência cibernética mundial será aumentada. Assim, mais problemas de segurança, distinções em regulamentos de segurança, procedimentos e tecnologia podem ser identificados. As empresas também podem realizar avaliações de risco, testes de penetração e exercícios de mesa para assegurar que a segurança não somente é melhorada, mas que o empreendimento como um todo esteja ciente de sua maturidade.
Uma vantagem adicional ao ter estabelecido uma relação de retenção a longo prazo é que estes profissionais de cibersegurança aprendem sobre os programas de segurança cibernética de um cliente e o contexto em que estes programas operam. Eles sabem em detalhes o que as políticas e processos são, quais ferramentas são usadas e como seus sistemas são configurados. Esta inteligência contextual é uma parte importante, pois, se ocorrer um ataque cibernético, estes profissionais já terão conhecimento das informações de TI do cliente, o que permitirá que eles contenham e corrijam o problema rapidamente.
Numa realidade ideal, a prevenção de incidentes e a resposta deveriam estar intimamente relacionadas. Aqueles que detêm o verdadeiro conhecimento de risco cibernético permitirão que as organizações façam isso de uma maneira que aumente não apenas a resistência teórica, mas forneça às equipes a experiência prática para realizar o melhor trabalho possível tanto em tempos de crise quanto em condições comerciais normais.
Por favor, dê uma olhada neste artigo e compartilhe-o.
- InfoSec Insider é um blog de segurança da informação que fornece informações sobre os mais recentes desenvolvimentos e informações da área.