CISO

5 etapas para a criação de um programa de risco interno

Share with your network!

Imagine esta situação: a sua empresa sofreu uma ameaça interna. Felizmente, o elemento interno foi detido antes que houvesse algum dano material. Além disso, foi um caso de uso de ameaça interna comum. Um funcionário comunicou que poderia assumir um cargo em uma empresa concorrente. Porém, antes de sair, ele começou a fazer downloads de documentos estratégicos confidenciais para levar consigo.

Por pouco não houve um desastre e, por isso, o risco interno agora tem visibilidade em nível de diretoria na sua organização, algo que você já vinha defendendo. Essa foi a boa notícia — agora vamos à má notícia. Você tem o respaldo executivo, a tecnologia e o pessoal necessários. E agora? Como concatenar isso tudo?

Esteja você iniciando um programa de risco interno (IRM) do zero ou procurando levar a sua organização a um patamar mais alto em termos de eficácia, esta postagem oferece os insights e as práticas recomendadas de que você necessitará para tornar o seu programa bem-sucedido.

Por que um programa de risco interno é tão importante?

Antes de descrevermos as etapas de um programa de risco interno eficaz, é importante discutir a importância de se ter tal programa. Seguem as três principais razões.

  1. Você muda para uma abordagem proativa. Quando é proativo, você pode evitar que eventos internos ocorram em vez de reagir a eles, o que ajuda a evitar danos financeiros e à marca.
  2. Você compreende melhor os seus dados e usuários arriscados. Quando você compreende quem são os seus usuários arriscados e quais dados e sistemas são os mais importantes para a sua empresa, é possível assegurar que haja controles de segurança em vigor para proteger informações e sistemas críticos.
  3. Você pode reduzir os seus tempos de resposta. Com processos e procedimentos definidos, você pode reduzir os seus tempos de resposta. Definir claramente o que deve acontecer, quando e quem é responsável poupa tempo no momento mais necessário — especialmente quando a resposta envolve a atuação de vários cargos distintos.

Construção do seu programa: 5 etapas principais

Estas são as cinco etapas a serem seguidas para iniciar um programa de risco interno ou para melhorar o seu programa atual.

Etapa 1: montar a equipe

Um programa de IRM bem-sucedido inclui designar um campeão executivo, identificar um comitê diretor e criar uma equipe de trabalho multifuncional.

O IRM é frequentemente chamado de “esporte de equipe” porque envolve pessoas de vários departamentos, como jurídico, de recursos humanos (RH) e de conformidade, líderes de linhas de negócios, executivos e até mesmo a diretoria. Todo grupo deve trabalhar conjuntamente com o objetivo comum de reduzir o risco organizacional. O patrocinador executivo desempenha um papel fundamental ao apoiar e promover o programa, além de ajudar a lidar com opositores.

Etapa 2: definir seus objetivos

O objetivo de um programa de IRM é evitar que um risco interno torne-se uma ameaça interna. Um risco torna-se uma ameaça quando uma pessoa em posição de confiança prejudica a empresa, intencionalmente ou inadvertidamente.

Comece determinando o que torna a sua organização vulnerável. Isso inclui:

  • Identificar elementos internos arriscados. Elementos internos arriscados podem incluir funcionários com acesso privilegiado, terceirizados, pessoas muito atacadas (Very Attacked People™), executivos, funcionários com metas de desempenho e muitos outros. (Nota: os usuários arriscados diferem de uma organização para outra.)
  • Definir os dados confidenciais. Sem saber quais são os seus dados confidenciais, você não pode protegê-los.
  • Definir requisitos de conformidade. Determinadas leis e regras de conformidade são melhor cumpridas através de um programa holístico de IRM que assegure que requisitos de privacidade sejam respeitados.
  • Equilibrar as necessidades da empresa. Encontre um equilíbrio entre as necessidades da empresa, controles de segurança, como prevenção de perda de dados, e produtividade do usuário final.

Etapa 3: identificar suas capacidades

Antes de poder planejar o seu programa, você precisa compreender o seu estado atual. O seu ponto de partida é uma avaliação crítica das suas capacidades atuais, dos seus investimentos e do nível de eficácia do seu programa de risco interno. Esse processo pode ajudá-lo a responder perguntas como:

  • Nós temos as capacidades de detecção, resposta, análise e prevenção de que necessitamos? Quais são as nossas limitações?
  • Temos visibilidade entre canais, inclusive e-mail, endpoint, nuvem e Web?
  • Quais são os nossos pontos problemáticos ou lacunas de cobertura específicas?
  • Como podemos fazer melhor uso de nossos investimentos atuais ao implementarmos um programa mais abrangente?

Etapa 4: operacionalizar

É importante estabelecer um processo de operações de segurança para que os seus analistas possam reagir, triar e escalar por canais predefinidos. Roteiros operacionais claramente definidos podem ajudar a impulsionar ações de investigação e mitigação.

Defina o processo escalatório do trabalho com os departamentos de RH, jurídico, de conformidade, liderança executiva e a empresa. E esteja certo de que haja um processo no qual a base de usuários reconheça e aceite o monitoramento de comportamentos arriscados.

Etapa 5: iterar

Uma vez que o seu programa esteja operacional, você pode submetê-lo a iterações e evoluções contínuas com base nas necessidades da empresa. Isso inclui tomar as providências mencionadas a seguir.

  • Desenvolver marcos e metas para ajudar a expandir o programa intencionalmente em vez de reativamente
  • Identificar métricas baseadas no crescimento do programa e em marcos estabelecidos de comum acordo
  • Trabalhar com as partes interessadas para assegurar que as necessidades fundamentais da empresa sejam satisfeitas e que o programa possa ser expandido
  • Automatizar a prevenção e a remediação de maneira que os analistas ganhem eficiência e poupem tempo

Como a Proofpoint pode ajudar

Pronto para criar ou melhorar o seu programa de IRM? A maioria das empresas não dispõe de qualificações próprias sobre ameaças internas. Por isso talvez seja interessante contar com a Proofpoint na sua iniciativa de combater a perda de dados e o risco interno. Podemos oferecer orientação e conhecimentos ao longo da sua jornada de projeto, implementação e gerenciamento de um programa eficaz de IRM.

Conheça a abordagem da Proofpoint para programas centrados em pessoas com sua estrutura de proteção de informações.