Espere o pior

Em uma tentativa de acordar empresas que podem não estar levando a segurança tão a sério quanto deveriam, elas costumam dizer: “Não é uma questão de se, mas quando”.

Historicamente, não sou o maior fã desse termo, pois tem um certo tom de tristeza e tristeza. Tipo Nostradamus digital .

Um pouco como um daqueles comerciais de seguro de vida que morbidamente lembram que você vai morrer algum dia e você quer que seus entes queridos sejam tratados financeiramente. Vai dizer que o banco XYZ nunca te ligou falando pra você pensar no pior cenário ?

A realidade é que, por mais deprimente que pareça, todos nós morreremos em algum momento. E é provável que uma empresa que usa a tecnologia e esteja conectada à internet de alguma forma, provavelmente experimentará e incidirá de alguma magnitude ao longo de sua vida.

Ser atacado ou comprometido por uma parte externa ou interna não é um evento inesperado com a quantidade de notícias hoje em dia, e  que está fora da curva. Onde muitas empresas dão errado é acreditar que podem eliminar completamente esses ataques. Mas isso não é prático porque aleatoriedade e variabilidade são a regra, não a exceção.

É como quando você tem um voo para pegar, a maioria das pessoas tenderá a sair mais cedo do que o necessário para incluir tráfego imprevisto ou outros atrasos. Porque sabemos e compreendemos que uma jornada que consiste em aviões, trens e automóveis inevitavelmente encontrará alguns atrasos. Então planejamos isso.

Da mesma forma, as empresas devem planejar o inesperado, construí-lo em sua estrutura para garantir que ele não apenas permaneça resiliente, mas floresça em tempos de adversidade.

Então, o que pode tornar uma empresa mais resiliente a incidentes de segurança ?

Hackeie-se

Que melhor maneira de ver como um invasor se sairá contra seus sistemas do que submeter seus sistemas às mesmas tensões. Não é tanto um caso de provar que todos os seus sistemas são inquebráveis, mas sim lhe dar um nível de segurança de quanto tempo suas defesas podem resistir, se você tem meios efetivos de detectar e responder, e talvez mais importante, o que o impacto nos negócios ou nos clientes será.

Adicionar redundâncias

Muitas vezes, quando falamos de redundâncias, pensamos em planejamento de continuidade de negócios que inevitavelmente muitos se resumem à arte de “comprar dois de tudo”.

Muitas vezes, uma empresa pode evitar o custo associado a sistemas redundantes, porque nunca pode ser usado. Embora, a verdade é que não precisar de um sistema redundante é a exceção, não a regra.

Também é importante ter redundâncias alternativas em vigor. Por exemplo, se um sistema ficar inativo, há uma solução alternativa manual que possa ser implantada? As transações online poderiam ser desviadas para call centers? Se o dinheiro não estiver disponível, as criptomoedas podem ser usadas?

Nem todos os riscos são criados iguais

Ativos críticos são o sangue vital de uma organização. Eles são as joias da coroa que ajudam a empresa a ser lucrativa por meio de vendas, serviços ou inovação. Mas pode tornar-se fácil perder alguns dos riscos entre o grande mar de questões.É por isso que pode fazer sentido para as empresas, pelo menos, adotar uma estratégia de duplo risco, por meio da qual ela pode ser segura em algumas áreas e assumir mais riscos em outras.

Ter vários pontos de resiliência

Não são apenas os ataques que estão em ascensão. Há vários fatores, como erros, alterações ou migrações de infraestrutura, que podem levar a incidentes de segurança. Por isso, é importante criar resiliência em vários pontos da empresa.

Talvez seja hora de parar de temer, ou de pensar na frase “não é se, mas quando” sob uma luz negativa – mas sim como uma oportunidade positiva – que pode permitir que as equipes de segurança inovem de forma proativa para obter o melhor resultado para si mesmas. e sua empresa.