Recomendado para você
A jornada de cada empresa para se tornar mais segura é única. Os fatores que podem impactar seu perfil de segurança ideal incluem risco operacional, fluxos de trabalho operacionais únicos, políticas, procedimentos, tolerância ao risco, entre outros.
Infelizmente, é impossível ficar 100% livre de risco. O objetivo deve ser estabelecer um nível tolerável de risco com base em seus ambientes operacionais únicos.
A jornada para melhorar sua força de segurança industrial, ou postura, pode parecer complexa e por um bom motivo. Com muitas metodologias, padrões industriais e tecnologias diferentes disponíveis no mercado, o caminho a seguir pode não ser claro. Você pode se perguntar: "Por onde começamos?"
Uma maneira de começar essa jornada é por meio do uso de avaliações de segurança. Em sua forma mais simples, uma avaliação de segurança é uma medição estruturada da postura de segurança de um sistema ou organização.
Quando usadas adequadamente, as avaliações podem ser um método extremamente eficaz para avaliar sua postura de segurança atual, identificar a lacuna entre seu estado atual e o estado ideal e estabelecer etapas claras para conquistar sua postura de segurança ideal.
Tipos de avaliações
A frase "avaliação de segurança" pode significar muitas coisas diferentes. Por isso, é importante definir o escopo adequado da avaliação com base na intenção da iniciativa. Os tipos mais comuns de avaliações podem gerar descobertas diferentes, que têm a capacidade de impactar as etapas seguidas em seu programa de segurança.
- Avaliação de vulnerabilidade: identifica vulnerabilidades conhecidas que existem em um ambiente, em um esforço para implementar um plano de ação para corrigi-las.
- Análise de lacunas: identifica a lacuna entre a postura de segurança vigente de uma organização e o estado ideal de sua postura de segurança. As análises de lacunas geralmente levam em consideração um padrão corporativo ou do setor e visam definir claramente as etapas necessárias para alcançar a postura de segurança desejada.
- Apreciação de risco: fornece uma visão mais holística da postura de segurança de uma organização. Uma apreciação de risco combina elementos de uma avaliação de vulnerabilidade e da avaliação de lacunas para identificar e analisar riscos conhecidos em relação à tolerância ao risco da organização e sua postura de segurança ideal.
- Auditoria de segurança: esse serviço baseado em avaliação audita a postura e as práticas de segurança de uma organização em relação a determinados padrões ou conjunto de requisitos do setor, geralmente para ajudar a garantir a compatibilidade, como NERC-CIP ou outros padrões.
Lembre-se de que, embora os itens acima sejam tipos comuns de avaliações de segurança, é importante começar com uma compreensão do objetivo pretendido antes de fazer uma seleção. Isso será fundamental para ajudar a garantir que as devidas expectativas sejam alinhadas e atendidas, e a avaliação mais eficaz seja selecionada para progredir em seu programa de cibersegurança.
Seja realista
Ao considerar qual tipo de avaliação é adequado para sua organização, lembre-se de que uma avaliação é um instantâneo de um ponto no tempo. Ela não deve ser vista como a única solução para o programa de segurança de uma organização. Em vez disso, ela é como um check-up efetivo para confirmar que a manutenção, a gestão e os controles técnicos são apropriados para sua tolerância ao risco pretendida.
Se você estiver lidando com orçamentos restritos e recursos limitados e não puder conduzir uma avaliação em toda a organização, convém adotar uma abordagem de “amostra representativa”, que reduz o escopo da análise a uma parte da sua organização, que oferecerá uma avaliação inicial.
Reúna tudo
As avaliações de segurança podem ser ferramentas eficazes para avaliar sua postura de segurança atual, mas devem ser selecionadas adequadamente, com escopo definido e combinadas com um roteiro acionável que estabeleça etapas claras e acionáveis para alcançar seu perfil de segurança ideal. O provedor certo pode ajudar você com avaliações e criar um programa de segurança robusto.
Publicado 29 de abril de 2019
