Você sabe a pontuação da sua empresa e por que ela é importante?
Um dos grandes desafios dos CISOs é estabelecer critérios mensuráveis (e isentos) sobre sua postura em Segurança da Informação. E com o avanço de novas legislações, soma-se a esse desafio avaliar seus parceiros de negócios.
Está em andamento um processo irreversível onde as empresas terão seu risco cibernético associado a um score de segurança da informação. Na prática, isso quer dizer que organizações independentes vão atribuir às companhias pontuações com base em conjuntos de boas práticas de acordo com sua exposição a Internet. A tendência é que a adesão a essa política aconteça por um dos três motivos:
- zelar pelos próprios dados de negócio e de terceiros que estão em seu poder;
- pela exigência de parceiros de negócio;
- ou para evidenciar a conformidade da organização com legislações e compliances.
Nos EUA o score de segurança da informação já é realidade
Enquanto no Brasil o score de segurança da informação é tratado como tendência, nos Estados Unidos já é uma realidade. O processo de adoção foi acelerado porque as seguradoras utilizam esse score como um parâmetro para calcular o custo da apólice de empresas interessadas em contratar um seguro contra riscos cibernéticos.
No Brasil empresas já utilizam essa mecânica para avaliar seus prestadores de serviços – avaliação que tradicionalmente é feita através de formulários manuais, com resultados nem sempre confiáveis ou auditorias custosas e lentas.
Saiba a pontuação da sua empresa pelo Security Scorecard
Organizações de todos os segmentos podem solicitar o mapeamento e o monitoramento do seu score de segurança. Essa solução é oferecida pela Etek NovaRed utilizando o Security Scorecard. Na prática, por meio de um processo totalmente automatizado, essa solução avalia a maturidade da empresa com relação à segurança da informação com base em sua exposição na internet.
Com potencial para gerar visibilidade para as empresas no mercado em geral, utilizamos dados públicos, ou seja, não fazemos nenhum monitoramento invasivo ou ilegal. Antes de atribuir uma nota de 0 a 100 para a organização, a ferramenta avalia a saúde da segurança da empresa por meio de assessments e evidências, mapeando:
- os domínios da empresa monitorada (contratante, parceiros e/ou concorrentes, de acordo com o contrato firmado);
- a existência de campanhas de malware associadas ao domínio;
- o atendimento a requisitos específicos de compliance;
- a adoção e validade dos certificados digitais;
- os pontos de vulnerabilidade da rede;
- a atualização dos servidores entre outros.
Fazem parte da solução os planos de remediação detalhados e as ações para garantir que as vulnerabilidades identificadas sejam corrigidas e o atingimento de melhores scores, que podem ser utilizados como referência interna e, principalmente, a seus clientes melhorando sua visibilidade e potencializando seus negócios.
Muitas empresas ignoram seus reais riscos cibernéticos
Antes de iniciar a implementação do processo de score de SI, os especialistas da Etek NovaRed convidam a empresa contratante a responder um questionário sobre sua aderência às boas práticas de segurança da informação.
O score do seu parceiro de negócio também é importante
Uma funcionalidade importante do nosso serviço é a capacidade de avaliar a maturidade de segurança da informação não só da sua empresa como também dos parceiros de negócio com os quais você compartilha dados sensíveis de terceiros que estão em seu poder. Essa funcionalidade é de extrema importância, tendo em vista que da Lei Geral de Proteção de Dados (LGPD) coloca sob sua responsabilidade o mau uso dos dados que sua organização coletou e compartilhou.
Quando o universo de parceiros de negócio é pequeno, é possível delegar a auditoria tradicional a um profissional do time interno. Porém, quando falamos de uma quantidade grande de parceiros de negócio a automatização é a melhor estratégia. Essa prática de mapear e monitorar as boas práticas dos parceiros com relação a segurança da informação é fundamental, inclusive, neste momento que estamos vivendo, quando muitas equipes migraram do escritório para o home office às pressas e sem a certeza de que estavam com a estrutura e os procedimentos adequadas
Estratégica para o CISO e valorizada pelo board da empresa
Sem dúvida o Security Scorecard é uma ferramenta que chega para apoiar o CISO na gestão da segurança da informação, tendo em vista que, por meio dos dados fornecidos pela solução, o líder consegue ter um controle diário mais apurado da operação. Isso, inclusive, graças aos relatórios com informações sobre o surgimento de vulnerabilidades no mercado em geral e a existência dessas ameaças no ambiente da empresa.
Com relação ao board da companhia, com os dados extraídos do Security Scorecard, os responsáveis pelas áreas de tecnologia e segurança da informação se munem de mais dados para defender os investimentos, identificar gargalos nos processos ou ter insights sobre melhorias da operação. Trata-se de um baseline muito interessante para otimizar a alocação de recursos, elevar o status do tema segurança da informação dentro da organização e evidenciar os seus diferenciais diante da concorrência.
Se você quer entender mais sobre os benefícios e as funcionalidades do Security Scorecard, fale conosco.
