assim como as pessoas têm impressões digitais únicas, cada empresa a sua pegada digital única. Mesmo quando existem sobreposições, as empresas fornecem produtos diferenciados, estabelecem infra-estruturas de TI personalizadas, e coletam seu próprio conjunto de fornecedores de terceiros. Embora uma grande empresa possa fornecer serviços através da nuvem privada, as pequenas startups podem estar a utilizar uma infra-estrutura híbrida nas instalações/pública na nuvem. Embora não exista uma abordagem de” tamanho único ” para a cibersegurança, estas seis estratégias podem ajudá-lo a criar uma abordagem “justa” para desenvolver a sua lista de avaliação de vulnerabilidade cibernética. O que é uma avaliação de vulnerabilidade cibernética?
uma avaliação de vulnerabilidade cibernética, também chamada de avaliação de segurança, começa por identificar redes de computadores, hardware, software e aplicações de uma organização, então se envolve em testes de penetração ou varreduras de vulnerabilidade para determinar o risco de segurança da informação associado com os ativos de TI, incluindo, mas não limitado à segurança de rede e segurança de aplicações web.
- quais os benefícios de uma avaliação da vulnerabilidade cibernética?Depois de identificar e avaliar potenciais ameaças como parte da avaliação da vulnerabilidade cibernética, a organização pode se envolver em estratégias de remediação que fortalecem sua postura de segurança cibernética e amadurecem sua postura de Conformidade. Além disso, os requisitos de conformidade com a cibersegurança exigem cada vez mais que as organizações monitorem continuamente as fraquezas do controle e as novas ameaças que afetam seus perfis de segurança e conformidade. Desenvolver a sua avaliação da vulnerabilidade cibernética significa compreender os riscos que mais directamente afectam o seu negócio. No entanto, uma vez que os atores maliciosos visam organizações com base em uma variedade de fatores, você precisa desenvolver uma avaliação personalizada da vulnerabilidade cibernética. 6 estratégias para desenvolver a sua avaliação da vulnerabilidade cibernética
- alinhar as estratégias de negócios e TI
- identifique os seus activos de TI
- identificar os riscos inerentes
- definir e monitorizar níveis de tolerância ao risco
- riscos de controlo de revisão
- estabelecer um programa contínuo de monitorização e garantia
- How SecurityScorecard enables cyber vulnerability assessments
quais os benefícios de uma avaliação da vulnerabilidade cibernética?Depois de identificar e avaliar potenciais ameaças como parte da avaliação da vulnerabilidade cibernética, a organização pode se envolver em estratégias de remediação que fortalecem sua postura de segurança cibernética e amadurecem sua postura de Conformidade. Além disso, os requisitos de conformidade com a cibersegurança exigem cada vez mais que as organizações monitorem continuamente as fraquezas do controle e as novas ameaças que afetam seus perfis de segurança e conformidade. Desenvolver a sua avaliação da vulnerabilidade cibernética significa compreender os riscos que mais directamente afectam o seu negócio. No entanto, uma vez que os atores maliciosos visam organizações com base em uma variedade de fatores, você precisa desenvolver uma avaliação personalizada da vulnerabilidade cibernética.
6 estratégias para desenvolver a sua avaliação da vulnerabilidade cibernética
alinhar as estratégias de negócios e TI
cada avaliação da vulnerabilidade cibernética precisa começar com os objetivos de negócios a longo prazo da empresa. A comunicação entre a linha de negócios e os departamentos de TI precisa ser uma atividade contínua. Um negócio de comércio eletrônico que opera principalmente nos Estados Unidos pode precisar atender aos requisitos de segurança ditados pela Lei de Defesa do Consumidor da Califórnia (CCPA) ou pela Lei de proteção de dados eletrônicos (SHIELD) de Nova Iorque. No entanto, se você está planejando expandir suas operações e se concentrar em clientes europeus, você precisa falar com o seu departamento de TI sobre o cumprimento dos Requisitos de segurança do Regulamento Geral de proteção de dados da União Europeia (GDPR) também. Garantir que todas as partes interessadas internas comuniquem como parte do processo de avaliação da vulnerabilidade à segurança da informação é fundamental para a eficácia dos resultados em termos de segurança e conformidade.
identifique os seus activos de TI
embora isto pareça um primeiro passo óbvio, muitas organizações lutam para identificar todas as redes, hardware, software e activos de TI baseados na nuvem. À medida que as organizações abraçam a transformação digital, elas aumentam o número, tipo e localização de seus ativos digitais. Igualmente importante, as organizações que se fundem ou adquirem outras empresas precisam incorporar esses novos ativos como parte de sua avaliação de vulnerabilidade cibernética.
as organizações muitas vezes lutam para monitorar seus recursos baseados em nuvem porque a escalabilidade da nuvem significa que o número de cargas de trabalho e objetos podem mudar em um momento de aviso. A identificação de todos os ativos baseados na nuvem pode ser esmagadora para as organizações que tentam escalar seus negócios, ao mesmo tempo que protegem seus dados de atores maliciosos.
identificar os riscos inerentes
um risco inerente é o risco associado a um tipo de negócio ou indústria. Por exemplo, os riscos inerentes à indústria transformadora são a SCADA e a Internet Industrial das coisas (IIoT). Entretanto, os riscos inerentes ao comércio electrónico centram-se nos dados do titular do cartão e na segregação em rede. Outro risco inerente pode ser a localização geográfica da sua organização. Por exemplo, a pesquisa global de insights de segurança cibernética indicou que os riscos de segurança das redes eram maiores nos países europeus do que nos países norte-americanos. Embora você não possa mudar a localização geográfica de sua organização facilmente, você pode priorizar os riscos inerentes mais importantes para uma postura de segurança mais forte.
definir e monitorizar níveis de tolerância ao risco
a tolerância ao risco de uma organização baseia-se no facto de a empresa poder gerir ou, na maioria dos casos, proteger contra o risco identificado. As organizações podem optar por aceitar, mitigar, transferir ou recusar um risco baseado em sua estrutura corporativa e recursos. No entanto, como parte de sua avaliação de vulnerabilidade cibernética, você deve rever continuamente seus níveis de tolerância ao risco. Por exemplo, como uma organização escala suas operações de negócios, ela pode adicionar mais recursos baseados em nuvem. Uma empresa que anteriormente aceitava certos riscos, como o uso de ferramentas de segurança de código aberto, pode achar que precisa comprar ferramentas ou contratar mais pessoal de TI para mitigar os novos riscos.
riscos de controlo de revisão
riscos de controlo são frequentemente associados a revisões manuais. Enquanto um controle fraco pode ser digital, como um firewall não-compatível ou um balde AWS S3 exposto, a razão pela qual o controle fraco existe muitas vezes está no erro humano. Um administrador de TI sobrecarregado pode ter esquecido de atualizar o firewall ou um desenvolvedor se esqueceu de mudar a configuração no balde S3. Como parte de sua revisão de risco de controle, você quer começar por rever todas as tarefas manuais. Muitas vezes, automatizar essas tarefas pode levar a menos riscos de controle.
estabelecer um programa contínuo de monitorização e garantia
actores maliciosos evoluem as suas metodologias de ameaça. Malware e ransomware são dois dos vetores de ameaça mais comuns que os atores maliciosos usam para ganhar acesso a redes, sistemas e software. Embora exploits of previously undiscovered vulnerabilities, or” zero day ” attacks, make great headlines, these attacks also take a lot of time and effort. A maioria dos programas de malware e ransomware são evoluções do Código anteriormente conhecido. Em alguns casos, atores maliciosos podem simplesmente comprar os vírus na dark web. Em outros casos, eles podem apenas ajustar programas conhecidos. De qualquer forma, eles são de baixo custo e fácil de implantar. Com isso em mente, os controles que efetivamente protegem sua organização hoje não podem mitigar o risco amanhã. Em combinação com seu controle de risco e revisão manual de tarefas, você pode querer se envolver em uma solução de monitoramento contínuo automatizado que o alerta para novos riscos, prioriza os riscos para você, e o ajuda mais rapidamente a remediar novos riscos para melhor proteger a sua organização.
How SecurityScorecard enables cyber vulnerability assessments
Securityscorecard’s cybersegurança ratings platform provides “at-a-glance” insight into your organization’s security posture. Usando uma variedade de informações publicamente disponíveis de toda a internet, a nossa plataforma classifica a eficácia dos seus controlos usando um sistema de classificação A através de F.
monitorizamos dez factores, incluindo a saúde DNS, a reputação IP, a segurança da rede e a segurança das aplicações web. Nós não só fornecemos a você uma classificação holística, mas nós permitimos que você aprofunde os dez fatores para que você possa obter uma visão de suas áreas mais vulneráveis.
nossa automação reduz o risco de erro humano associado com tarefas manuais, tais como revisões avassaladoras de logs. Com os índices de segurança da SecurityScorecard, você pode priorizar suas atividades de segurança, documentar seus passos de remediação e provar a governança sobre seu programa de segurança cibernética.
