segunda-feira, 25 de setembro de 2017

PAPOFÁCIL #063 Forcepoint Segurança, o fator humano com William Rodrigues

William Rodrigues, Senior Sales Engineer, conta o porquê do fator humano ser tão importante no cenário da segurança, em um momento no qual não há mais um perímetro claro, uma fronteira para isolar as ameaças que podem vir de muitos lugares (cloud, dispositvos móveis, etc.) e com quais tipos de usuários devemos nos preocupar!

Gravado dia 20/09/2017 na Forcepoint

PAPOFÁCIL #063 Forcepoint Segurança, o fator humano 









Forcepoint apresenta resultados de estudos que identificam a importância de entender o comportamento e intenção das pessoas que interagem com dados críticos de negócios para evitar vulnerabilidades

Com metas de aumentar a eficiência, as empresas estão em constante  busca por novas tecnologias para reduzir custos, atrair uma força de trabalho jovem, melhorar a retenção dos funcionários e aprimorar a agilidade organizacional. Embora seja boa para os negócios, essa habilitação apresenta novos desafios de segurança. Os dados críticos estão em todos  os lugares, estratificados em nuvens privadas e públicas, em mídias removíveis e dispositivos móveis, e perigosamente misturados com dados pessoais nos dispositivos dos funcionários.  

E, no entanto, muitos profissionais de segurança não conseguem ver como e onde estão os dados, destaca a análise O Estado da Cibersegurança em 2017, realizado pela Forcepoint. Sem essa visibilidade, as vulnerabilidades centradas em pessoas desestabilizam até as redes mais seguras e reduzem muito a eficácia dos investimentos em cibersegurança. Não importa como os ataques se originam, em última instância infligem mais danos nos pontos em que as pessoas interagem com dados críticos de negócios e propriedade intelectual, seja por meio de atos acidentais ou mal-intencionados. 

“Por esse motivo, a abordagem de Segurança da Informação em que o mercado confia há anos, com foco na proteção da infraestrutura de tecnologia, se tornou ineficaz. Ao mudar o foco para a constante, onde as pessoas interagem com dados críticos de negócios e propriedade intelectual,os profissionais de segurança terão mais capacidade para administrar o risco que suas organizações enfrentam”, analisa William Rodrigues, Senior Sales Engineer da Forcepoint.

De acordo com estimativas do Gartner, os gastos mundiais em segurança da informação devem chegar a US$ 90 bilhões em 2017, um aumento de 7,6% em relação a 2016, e superar US$ 113 bilhões em 2020. Para a Forcepoint, em vez de gastar US$ 113 bilhões em tecnologias projetadas para proteger um perímetro rompido, devemos analisar as pessoas e proteger contra os comportamentos que sabemos que podem resultar em perda de dados críticos e propriedade intelectual. 

Em estudo global da Forcepoint O Ponto Humano: a intersecção de Comportamentos, Intenção e Dados Críticos de Negócios com 1.252 profissionais de  cibersegurança, incluindo da América Latina e com várias verticais da indústria, quase 80% dos profissionais de cibersegurança afirmam que as empresas devem entender a intenção e o comportamento das pessoas quando elas interagem com dados críticos e propriedade intelectual. Entretanto, menos de um terço é capaz de fazer isso de maneira eficiente. 

Além disso, ampliar o uso de dispositivos móveis e serviços também estende o perímetro da rede. Os profissionais de TI foram convidados a listar todos os diferentes dispositivos e mídias de armazenamento que suas organizações usam para acessar ou armazenar dados críticos. A nuvem privada foi mencionada quase metade do tempo (49%), seguido de perto por dispositivos BYOD (28%), mídia removível (25%) e nuvem pública (21%) - apoiando claramente a noção de que dados críticos de negócios são muito estratificados para serem protegidos de forma eficiente.

As rotas para o vazamento de dados e a exposição potencial se ampliam à medida que mais organizações permitem o acesso a dados críticos de negócios, seja através de BYOD ou políticas corporativas que permitem a utilização de mídias sociais. Este é um fator importante que mantém acordados  os profissionais de cibersegurança: 46% dos entrevistados afirmaram que eles estão muito ou extremamente preocupados com a junção de aplicativos pessoais e comerciais em dispositivos móveis, como smartphones. Apenas 7% têm uma visibilidade extremamente clara de como os funcionários utilizam dados críticos de negócios em dispositivos próprios ou corporativos - serviços autorizados pela empresa (por ex., Microsoft Exchange) e serviços ao consumidor (por ex., Google Drive, Gmail).

Há muitos pontos em que as pessoas interagem com negócios, dados e conteúdo críticos - incluindo e-mail, redes sociais, aplicativos de nuvem de terceiros e muito mais. Os participantes do estudo foram convidados a classificar quais pontos de interação podem criar o maior risco para uma organização. O email, de longe, foi avaliado como o maior risco (46%), porém o armazenamento em nuvem também foi considerado (41%) como uma das três principais áreas de risco (celular foi outro citado com 40%).

Mas existem tendências da indústria que apontam para a flexibilidade no tratamento de dados comerciais críticos. Por exemplo, apenas 9% de profissionais das organizações de Serviços Financeiros estão usando serviços em nuvem pública para dados críticos de negócios em comparação com entretenimento (45%), tecnologia (36%) e hotelaria (35%). Além de "onde" acreditam residir os riscos, os pesquisados também responderam quais as vulnerabilidades associadas aos comportamentos dos usuários - variando de acidental a criminoso. O malware (causado por phishing, brechas, contaminação BYOD, etc.) e os comportamentos inadvertidos do usuário empataram com 30% nas respostas.

“Executar uma estratégia de cibersegurança fundamentada em pessoas é claramente um processo, em vez de um ponto único”, afirma Rodrigues, que acrescenta “isso, conforme o mercado inicia a adoção de abordagens preventivas que se concentram menos no perímetro e mais em proteger os dados críticos de negócios em todo o ciclo de vida de criação, uso, disseminação e exclusão, onde quer que eles residam, na rede local, em mobilidade ou na nuvem”.

Segundo a Forcepoint, um programa de cibersegurança para ter progresso sustentável somente é viável através de uma associação de tecnologias, políticas, mudanças culturais e sistemas inteligentes, que devem ter a capacidade para observar comportamentos e decifrar intenções para de proteger proativamente os usuários, dados críticos e, mais importante, o ponto de interação. Esses sistemas incluem produtos que podem ser integrados facilmente para fornecer uma visão abrangente do comportamento de risco e mitigá-lo muito antes que se torne uma violação.

Nenhum comentário:

Postar um comentário