A ‘segurança excessiva’ retardaria os negócios? Executivos olham para controles restritivos na empresa

 
 
 
 

Os encarregados da segurança cibernética na empresa enfrentam muitas vezes uma batalha difícil, e isso representa um bom equilíbrio entre os controles de segurança e a produtividade.Mas em que ponto os controles se tornaram muito restritivos e, em última análise, afetam o fluxo de trabalho?

Por outro lado, os protocolos de segurança frouxos podem colocar em risco a empresa, tornando-a suscetível a ataques – pois os Chief Information Security Officers (CISO) e similares nem sempre sabem se uma “janela” proverbial está aberta à organização.

A segurança exige diligência, bem como um entendimento firme dos processos de negócios. E assim você tem esse “equilíbrio” acima mencionado – um que é difícil de alcançar e exige atenção constante e ajuste.

Nosso foco aqui é entender esse equilíbrio e em que ponto o veredicto do CISO invade os negócios.

EVENTO FRAUDES CORPORATIVAS

DIA 16 DE OUTUBRO NO RIO DE JANEIRO

INSCREVA-SE – CLIQUE NA IMAGEM

 

 

 

Não há mais armazenamento externo

Um bom exemplo de uma reação instintiva ao cenário de ameaças e à crescente sofisticação dos hackers inclui a decisão da IBM, em maio, de proibir internamente as unidades USB para armazenamento e movimentação de dados de funcionários.

De acordo com um relatório do The Register em maio, a IBM divulgou um comunicado aos seus funcionários no qual a diretora global de segurança de informações da empresa, Shamla Naidoo, declarou que a empresa multinacional de tecnologia estava “expandindo a prática de proibir a transferência de dados para todo o armazenamento portátil removível”. dispositivos (por exemplo, USB, cartão SD, unidade flash). ”

O lançamento afirmou que a IBM aderiu a esta política por um tempo, mas que estava expandindo-a mundialmente. Ele citou “os possíveis danos financeiros e de reputação causados ​​por dispositivos portáteis removíveis, perdidos ou mal utilizados”, segundo o comunicado.

A IBM não é cega para a inconveniência percebida do movimento, como a declaração sugeriu que a decisão pode ser “perturbadora para alguns”.

Quer tenha sido uma decisão executiva cuidadosamente pensada e deliberada, ou uma reação impulsiva à ampla superfície de ataque, é uma maneira bastante direta de eliminar o risco.

Mas políticas abruptas como as proibições de USB cruzam essa linha proverbial na areia?

Comentando isso, o diretor de operações de segurança da Online Business Systems, Alain Espinosa, disse ao Cyber ​​Security Hub: “Os controles de segurança podem afetar significativamente o fluxo de trabalho. A coisa surpreendente que descobri é que as empresas implementam tecnologia ou restrições (como não usar unidades USB) e decidem como vão reformular o fluxo de trabalho. Isso está trabalhando para trás. Eu começaria entendendo o problema que precisa ser resolvido. ”(E esse problema é a maneira como os dados são usados, não o pendrive real.)

‘Golpeando um equilíbrio’

Da mesma forma, em uma coluna do Information Security Buzz , Sam Elliott, diretor de gerenciamento de produtos de segurança da Bomgar, disse: “Cabe à TI garantir que a organização esteja alcançando o equilíbrio certo entre produtividade e segurança. Parte disso é trabalhar diretamente com os usuários finais para aproveitar ao máximo as implementações de tecnologia, desde os fatores de acessibilidade até as necessidades de treinamento individuais ou em grupo. Mas também é importante que as considerações de produtividade sejam incluídas nas decisões de segurança desde o início. ”

Ele continuou: “Nenhuma tecnologia ou procedimento pode proteger completamente toda a organização. No entanto, com a combinação certa de soluções, as empresas podem alcançar essa dualidade de produtividade e segurança ”.

Espinosa acrescentou: “Começa com a compreensão do que você está tentando evitar e, em seguida, não apenas buscando tecnologia para mitigá-lo, mas talvez mais importante, desenvolvendo processos para resolver o problema (que às vezes inclui tecnologia)”.

 

Ele fez referência a um movimento de 2012 da Apple para acabar com sua unidade óptica para CDs / DVDs. Enquanto levou algum tempo para ajustar, hoje quase nenhum laptops carrega a unidade. “As pessoas se ajustaram”, disse Espinosa.

Outras áreas que acompanham a linha de sensibilidade mencionada incluem o gerenciamento de identidade e acesso (IAM) e os controles correspondentes.

Soluções PAM

Devido à ameaça de contas privilegiadas – essencialmente as “chaves do reino” – os CISOs precisam tomar medidas imediatas para limitar o acesso (usando princípios de “privilégio mínimo”). As soluções de PAM no estágio inicial podem ter parecido excessivamente restritivas. No entanto, sua utilidade agora é totalmente realizada na empresa.

Sobre esse vetor em particular, Elliott escreveu : “Eliminar ou restringir significativamente o acesso privilegiado não é a resposta. Os funcionários e parceiros externos precisam de acesso eficiente para realizar operações diárias e manter o negócio funcionando. Em vez disso, as empresas devem implementar soluções que eliminem os vetores de ameaça associados ao acesso privilegiado, mas ainda permitam que esses usuários façam seus trabalhos ”.

O colaborador do InfoSec Buzz destacou a injeção de credencial (inserindo credenciais privilegiadas de um gerenciador de senhas ou cofre em um sistema final) como uma maneira de se concentrar em segurança e produtividade.

Os controles de segurança, é claro, vão além do PAM e dos USBs portáteis – se aventurando em espaços como resposta a incidentes e anti-malware. Os CISOs precisam estar cientes das maneiras pelas quais essas áreas estão sendo alavancadas pelos agentes de ameaças, embora continuem fiéis aos negócios.

Além disso, embora as campanhas contínuas de treinamento e conscientização possam parecer respostas demoradas para uma batalha ampla e multifacetada, fica claro que todo e qualquer conhecimento ajuda a informar liderança, linhas de negócios (LOB) e todas as outras facetas da organização.

O Autor: Dan Gunderman
https://www.cshub.com/security-strategy/news/excessive-security-could-slow-the-business-but-is-there-such-a-thing
 

print
Share and Enjoy:
  • Facebook
  • В закладки Google
  • LinkedIn
  • Twitter
  • MySpace
  • Яндекс.Закладки
  • Reddit
  • StumbleUpon
  • Technorati
  • del.icio.us
  • Digg
  • БобрДобр
  • MisterWong.RU
  • Memori.ru
  • МоёМесто.ru
  • LiveJournal
  • Сто закладок
  • Добавить ВКонтакте заметку об этой странице
  • Мой Мир
  • FriendFeed
  • Google Buzz

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *