Tratando a segurança de identidade como um investimento empresarial

Início » Blog » Tratando a segurança de identidade como um investimento empresarial

As decisões de segurança afetam diretamente funcionários, clientes, acionistas e a continuidade dos negócios. À medida que o papel do Diretor de Segurança da Informação (CISO) evolui de líder tecnológico para líder empresarial, eles devem cada vez mais preencher a lacuna entre os objetivos empresariais e os riscos de segurança, e traduzir a segurança em resultados mensuráveis. Neste artigo, examinaremos esta questão sob a perspectiva de segurança de identidade.

O paradoxo do CISO: às vezes a segurança cibernética é mais comercial do que a segurança cibernética

Tal como acontece com qualquer decisão empresarial, a segurança cibernética é uma questão de gestão de riscos: a redução potencial do risco que se obtém ao investir em segurança cibernética versus os custos inerentes à realização desses investimentos. Semelhante à alocação de recursos para qualquer outra necessidade organizacional, investir em segurança cibernética vai além da aquisição das ferramentas certas. Impacta a continuidade dos negócios, funcionários, clientes, acionistas e muitos outros.

O problema é que os líderes empresariais normalmente não veem a segurança cibernética como uma decisão de negócios, em grande parte porque o papel do CISO evoluiu e as organizações ainda estão se ajustando. Os CISOs são agora mais líderes empresariais do que líderes tecnológicos, mas este conceito ainda não foi totalmente compreendido e implementado.

Isso cria uma tarefa complexa para o CISO. Seus arquitetos de segurança da informação falam em termos de soluções, enquanto seus executivos falam em termos de resultados comerciais. Equilibrar estes dois e traduzir um para o outro requer grande esforço e maior autoridade. Para tomar uma decisão de negócios calculada, é útil aplicar a seguinte fórmula:

ROI de segurança cibernética = [(risco recuado esperado pelo risco atual) -custo de investimento]/(custo de investimento)

  • Risco atual: Avaliação da superfície de ataque da organização, perdas financeiras em caso de violação, impacto do tempo de inatividade em cada divisão, probabilidade de violação, estatísticas publicadas sobre o custo de uma violação, etc.
  • Risco Reduzido Esperado: Estimativa do risco após a implementação do plano de segurança sugerido, incluindo a redução do superfície de ataque, diminuição dos prêmios de seguro, etc.
  • Custo de investimento: O custo total de implementação do plano de segurança sugerido, incluindo a aquisição de ferramentas e treinamento.

Preço é o que você paga, valor é o que você obtém: Qual é o custo real da segurança de identidade?

Então, como é que a equação acima traduz a segurança da identidade numa decisão orientada para os negócios?

De acordo com o relatório The State of the Identity Attack Surface, 83% das organizações sofreram uma violação de segurança que envolveu credenciais comprometidas. A grande maioria dos ataques de ransomware depende de movimento lateral para se espalhar por uma rede. Normalmente, o ponto inicial de entrada é através de uma conta de usuário comum comprometida ou serviço conta.

Vamos explorar mais detalhadamente o custo de proteção dessas partes essenciais da superfície de ataque de identidade. Começaremos por discutir a AMF como exemplo e depois discutiremos contas de serviço tão bem.

MFA… mas a que custo?

No caso da MFA, as organizações podem ter as duas opções seguintes:

  • Aplicando MFA apenas para administradores: mais barato que o MFA para todos os usuários, mas não evitar movimentos laterais que envolve usuários regulares.

  • Aplicando MFA para todos os usuários: mais caro, mas oferece proteção contra movimentos laterais que envolvem usuários regulares.

Em cada caso, o risco atual é o mesmo. O CISO pode ilustrar os resultados de cada opção colocando números reais na equação e iniciando uma discussão orientada para os negócios:

MFA para administradores = [(risco atual-menor risco reduzido)-menor custo de investimento]/(menor custo de investimento)

MFA para todos os usuários = [(risco atual-maior risco reduzido)-maior custo de investimento]/(maior custo de investimento)

A decisão pode ser qualquer uma das opções, desde que seja comunicada aos executivos e ao conselho e demonstrada através de resultados mensuráveis.

Contas de serviço: qual é o custo de ser invisível?

Com contas de serviço, é mais fácil traduzir risco em visibilidade:

  • Compra de um segurança da conta de serviço solução: permite a descoberta, o monitoramento e o controle de todas as contas de serviço. Pode fornecer visibilidade total, mas pode ser caro.

  • Faça isso manualmente, pelo menos parcialmente: é difícil acompanhar todas as contas de serviço. Embora seja algo alcançável em organizações menores, é uma tarefa quase impossível para organizações maiores. Os custos variam, mas geralmente são muito mais baratos do que investir em uma solução de segurança.

  • Não faça nada: a visibilidade permanece a mesma, o risco atual permanece o mesmo.

O número de organizações com a visibilidade total de suas contas de serviço é de apenas 5.7%. No entanto, muitas violações de dados de alto perfil nos últimos anos envolveram a utilização e o comprometimento destas identidades não humanas, incluindo SolarWinds, o Escritório de Gestão de Pessoal dos EUA e Marriott.

As organizações devem revisar seu histórico para ver se ocorreram incidentes anteriores, se as contas de serviço foram mal utilizadas ou comprometidas e como ransomware os ataques afetaram outras organizações em seu setor.

Existem vantagens e desvantagens em cada opção, e nenhuma opção é adequada para todas as organizações. Ilustrando os resultados:

Ferramenta de segurança de conta de serviço = [(visibilidade total do risco atual) - maior custo de investimento]/(maior custo de investimento)

Detecção manual = [(risco atual - alguma visibilidade) - menor custo de investimento]/(menor custo de investimento)

Não fazer nada = [(risco atual-risco atual)-sem custo de investimento]/(sem custo de investimento)

Considerações finais: preenchendo a lacuna

Os CISOs estão se tornando um papel fundamental na tradução de soluções de segurança em decisões de negócios. Mas com grande poder vem também uma grande responsabilidade, uma vez que resultados de segurança mensuráveis ​​não só facilitam uma melhor compreensão da discussão, mas também são cruciais para fazer as escolhas certas.

Quais são as escolhas certas? Como mostrado acima, não há uma resposta única para esta pergunta. A chave é tratar a cibersegurança como qualquer outro investimento empresarial: com cautela, munido de todos os factos e com base em números reais.

Pare as ameaças à identidade agora