Recomendações fazem parte de relatório da RSA sobre a transformação de processos para ajudar a reduzir ameaças e riscos cibernéticos.
A RSA, divisão de segurança da EMC, acaba de divulgar relatório do SBIC (Security for Business Innovation Council, conselho de segurança para inovação dos negócios), com orientação sobre como as organizações podem gerar novas vantagens competitivas com a transformação de processos desatualizados e inflexíveis que governam o uso e a proteção dos ativos de informação.
O documento destaca os principais desafios, técnicas atualizadas e recomendações práticas que podem ser usadas para planejar e criar novos processos que ajudem as organizações a obter vantagens comerciais e administrar os riscos cibernéticos com mais eficácia.
Intitulado Transforming Information Security: Future-Proofing Processes, o relatório observa que grupos de negócios, dentro das companhias, estão assumindo maior responsabilidade sobre o gerenciamento de riscos da informação. No entanto, sistemas desatualizados de segurança estão impedindo a inovação dos negócios e dificultam o combate a novos riscos de segurança cibernética.
O SBIC recomenda que as equipes de segurança da informação colaborem mais estreitamente com os grupos de negócios para estabelecer novos sistemas e processos que ajudem a identificar, avaliar e controlar riscos cibernéticos com mais rapidez e precisão.
A pesquisa evidencia áreas prontas para aperfeiçoamento do processo de segurança, entre elas: medição de riscos, envolvimento comercial, análises de controle, avaliações de riscos de terceiros e detecção de ameaças.
Veja a seguir cinco recomendações sobre como conduzir os programas de segurança da informação para ajudar os grupos de negócios a aproveitar o risco para obter vantagem competitiva:
1. Desviar o foco dos ativos técnicos para os processos essenciais aos negócios
Ir além da limitada visão técnica de proteger os ativos de informação e obter um quadro mais amplo de como a empresa usa a informação trabalhando com unidades de negócios para documentar processos essenciais aos negócios.
2. Instituir estimativas comerciais dos riscos de segurança cibernética
Descrever os riscos de segurança cibernética em termos comerciais diretos e quantificados e integrar essas estimativas de impacto comercial no processo de orientação sobre riscos.
3. Estabelecer avaliações de risco centradas nos negócios
Adotar ferramentas automatizadas para controlar os riscos de informação de modo que as unidades de negócios possam ter um papel ativo na identificação do perigo e na mitigação de riscos, assumindo então maior responsabilidade pela segurança.
4. Definir um caminho para garantir controles baseados em evidências
Desenvolver e documentar recursos para reunir dados que provem a eficácia de controles permanentes.
5. Desenvolver técnicas bem fundamentadas de coleta de dados
Definir um caminho de arquitetura de dados que possa aumentar a visibilidade e enriquecer a lógica analítica. Considerar os tipos de perguntas que a lógica analítica de dados pode responder para identificar fontes relevantes de dados.
Fonte: ComputerWorld