Avaliações de cibersegurança: consiga a postura de segurança ideal | Blog

Avaliações de cibersegurança

A jornada de cada empresa para se tornar mais segura é única. Os fatores que podem afetar seu perfil de segurança desejado incluem risco operacional, fluxos de trabalho operacionais exclusivos, políticas, procedimentos, tolerância a riscos e muito mais.

Infelizmente, é impossível ficar 100% livre de riscos. A meta deve ser estabelecer um nível tolerável de risco com base em seus ambientes de operação únicos.

Rockwell Automation Security Assessment Tool: Benchmark your current industrial security level of risk and begin to identify methods to mitigate potential security risks with this tool.

A jornada para melhorar a força ou a postura de segurança industrial pode parecer complexa, e isso é por uma boa razão. Com tantas metodologias, padrões industriais e tecnologias disponíveis diferentes no mercado, o caminho a seguir pode não ser claro. Você pode se perguntar: "Por onde começamos?".

Uma maneira de começar essa jornada é com do uso de avaliações de segurança. Na forma mais simples, uma avaliação de segurança é uma medida estruturada da postura de segurança de um sistema ou uma organização.

Quando usadas de modo apropriado, as avaliações podem ser um método muito eficaz para avaliar sua atual postura de segurança, identificar a lacuna entre seu estado atual e o ideal e estabelecer etapas claras para alcançar a postura de segurança desejada.

Tipos de avaliações

O termo "avaliação de segurança" pode significar muitas coisas diferentes. Por isso, é importante definir de modo adequado a avaliação com base na intenção da iniciativa. Os tipos mais comuns de avaliação podem produzir descobertas diferentes que podem afetar as etapas que você realiza em seu programa de segurança.

  1. Avaliação de vulnerabilidades: identifica as vulnerabilidades conhecidas existentes em um ambiente, em um esforço para implementar um plano de ação para corrigi-las.
  2. Análise de lacuna: identifica a lacuna entre a postura de segurança existente de uma organização e o estado ideal desejado para ela. As análises de lacuna geralmente levam em consideração um padrão corporativo ou do setor e têm como objetivo definir claramente as etapas necessárias para atingir a postura de segurança desejada.
  3. Avaliação de risco: oferece uma visão mais holística da postura de segurança de uma organização. Uma avaliação de risco combina elementos de uma avaliação de vulnerabilidades e avaliação de lacuna para identificar e avaliar os riscos conhecidos em relação à tolerância ao risco e à postura ideal de segurança da organização.
  4. Auditoria de segurança: esse serviço com base em avaliação audita as práticas e a postura de segurança de uma organização em relação a um determinado padrão ou órgão de requisitos do setor, geralmente para ajudar a garantir a conformidade com NERC-CIP ou outros padrões.

Lembre-se de que, embora os tipos de avaliação de segurança acima sejam comuns, é importante começar com uma compreensão do objetivo pretendido antes de fazer uma seleção. Isso será fundamental para ajudar a garantir que as expectativas adequadas sejam alinhadas e atendidas e que a avaliação mais eficaz seja selecionada para aprimorar seu programa de cibersegurança.

Seja realista

Ao considerar qual tipo de avaliação é a correta para sua organização, lembre-se de que uma avaliação é um instantâneo de um momento no tempo. Ela não deve ser vista como a única solução para o programa de segurança de uma organização. Na verdade, ela é como um check-up regular para confirmar que a manutenção, o gerenciamento e os controles técnicos são apropriados para a tolerância ao risco que você deseja.

Se você estiver com orçamentos restritos e recursos limitados e não conseguir realizar uma avaliação em toda a organização, convém adotar uma abordagem de “amostra representativa”, que reduz o escopo da avaliação para uma parte de sua organização que oferecerá uma avaliação inicial.

Misturando tudo

As avaliações de segurança podem ser ferramentas eficazes para avaliar sua postura de segurança atual, mas devem ser selecionadas, delimitadas e associadas adequadamente a um roteiro acionável que defina etapas claras e acionáveis para atingir o perfil de segurança que você deseja. O fornecedor certo pode ajudar você com avaliações e criar um programa de segurança robusto.

Dave Mayer
Publicado 14 Junho 2019 Por Dave Mayer, Product Manager, Rockwell Automation
  • Contato:

Blog

Queremos mantê-lo atualizado com o que está acontecendo na sua indústria para ajudá-lo a estar na frente no futuro. O Blog da Rockwell Automation é uma plataforma para os nossos colaboradores e blogueiros convidados para compartilhar tecnologias e temas relacionados com a indústria.