A RSA , divisão de segurança da EMC, disponibiliza o mais recente relatório do SBIC (Security for Business Innovation Council, conselho de segurança para inovação dos negócios), fornecendo orientação sobre como as organizações podem gerar novas vantagens competitivas com a transformação de processos desatualizados e inflexíveis que governam o uso e a proteção dos ativos de informação. O relatório destaca os principais desafios, técnicas atualizadas e recomendações práticas que podem ser usadas para planejar e criar novos processos que ajudem as organizações a obter vantagens comerciais e administrar os riscos cibernéticos com mais eficácia.
Neste recente relatório intitulado Transforming Information Security: Future-Proofing Processes, o Conselho observa que grupos de negócios, dentro das organizações, estão assumindo maior responsabilidade sobre o gerenciamento de riscos da informação; no entanto, os processos desatualizados de segurança estão impedindo a inovação dos negócios e dificultam o combate a novos riscos de segurança cibernética. O Conselho oferece orientação recomendando que as equipes de segurança da informação colaborem mais estreitamente com os grupos de negócios para estabelecer novos sistemas e processos que ajudem a identificar, avaliar e controlar riscos cibernéticos com mais rapidez e precisão.
O novo relatório evidencia áreas prontas para aperfeiçoamento do processo de segurança, entre elas: medição de riscos, envolvimento comercial, avaliações de controle, avaliações de riscos de terceiros e detecção de ameaças. O Conselho também oferece cinco recomendações sobre como conduzir os programas de segurança da informação para ajudar os grupos de negócios a aproveitar o risco para obter vantagem competitiva:
1. Desviar o foco dos ativos técnicos para os processos essenciais aos negócios
2. Instituir estimativas comerciais dos riscos de segurança cibernética
Descrever os riscos de segurança cibernética em termos comerciais diretos e quantificados e integrar essas estimativas de impacto comercial no processo de orientação sobre riscos.
3. Estabelecer avaliações de risco centradas nos negócios
Adotar ferramentas automatizadas para controlar os riscos de informação de modo que as unidades de negócios possam ter um papel ativo na identificação do perigo e na mitigação de riscos, assumindo então maior responsabilidade pela segurança.
4. Definir um caminho para garantir controles baseados em evidências
Desenvolver e documentar recursos para reunir dados que provem a eficácia de controles permanentes.
5. Desenvolver técnicas bem fundamentadas de coleta de dados
Definir um caminho de arquitetura de dados que possa aumentar a visibilidade e enriquecer a lógica analítica. Considerar os tipos de perguntas que a lógica analítica de dados pode responder para identificar fontes relevantes de dados.
Para Art Coviello, vice-presidente executivo da EMC e presidente executivo da RSA, a divisão de segurança da EMC, " a empresa para inovar com sucesso no mundo digital de hoje em dia, p´recisa que suas equipes de segurança reavaliem os esforços de gerenciamento dos riscos cibernéticos, evitando abordagens reativas e voltadas para o perímetro, que são inflexíveis, e concentrar-se, em vez disso, na colaboração proativa com a área de negócios. Processos atualizados, como os descritos pelo Conselho, podem ajudar as organizações a obter maior visibilidade sobre o risco, o que pode ser canalizado para beneficiar a empresa.”
“Documentar processos de negócios deve ser um esforço colaborativo que reflita com precisão quais são os riscos para o sistema. Nós nunca entenderemos o valor comercial da informação tão bem quanto os donos das empresas, e eles nunca entenderão as ameaças tão bem quanto a equipe de segurança.”, complementa Dave Martin, vice-presidente e CISO da, EMC Corporation.
