Artigo 2 ABGR- Agosto - 2023:

José Fontenelle

Muitas empresas já contrataram o Seguro Cibernético como forma de mitigar os impactos em caso de um incidente ou ataque cibernético de maiores proporções. Porém muitas outras que ainda pretendem contratar não sabem como devem se preparar para conseguirem melhores condições junto as Seguradoras.

É importante considerarmos que o mercado de Seguro Cibernético, ou Seguro Cyber, está amadurecendo, assim como as Seguradoras que atuam com ofertas desse tipo de seguro, se tornando cada vez mais exigentes e criteriosas na avaliação dos níveis, padrões e controles de Segurança da Informação e Cibernética das empresas que queiram contratar um Seguro Cyber. Inclusive muitas vezes, as Seguradoras já estão se negando a oferecer o seguro caso a empresa não consiga demonstrar de forma satisfatória que está fazendo o seu “dever de casa” com relação a Segurança da Informação e Cibernética (SIC).

Por isso, para ajudar as empresas a se prepararem melhor para essa contratação, resumimos abaixo algumas ações importantes que devem ser realizadas antes da contratação do seguro, assim como recomendações para que consigam implementar, manter e continuamente melhorar, seus níveis, padrões e controles de SIC. As empresas devem:

• Implementar um Sistema de Gestão de SIC com base em frameworks, padrões e controles reconhecidos de segurança, como p.e.: ISO 27.001/02, NIST CSF (Cyber Security Framework), CIS Critical Security Controls, NIST SP-800, OWASP Top 10 (Web, Mobile, API e AI), CSA Cloud Controls Matrix e MITRE ATT&CK, que trazem uma série de controles e recomendações para elevar os níveis de SIC das empresas;

• Implementar Políticas, Processos, Procedimentos, Padrões e Baselines de SIC;

• Adotar melhores práticas de :

• Governança, Gerenciamento de Riscos, Compliance (GRC) e Auditoria de SIC;

• gerenciamento de identidade e de acessos, de usuários finais, de usuários privilegiados, de administradores de TI/Sistemas, de Contas de Serviços, etc (IAM e PAM);

• segurança de redes, p.e., segmentação e segregação, DMZs, VLANs, VPNs, ZTNA, criptografia de dados em transmissão, utilização de protocolos seguros e autenticação forte, etc;

• segurança no desenvolvimento de sistemas, softwares, aplicativos, produtos e serviços, seguindo os princípios de “ Default”;

• gerenciamento de riscos de SIC, inclusive riscos de fornecedores, 3ºs., prestadores de serviços, parceiros, cadeia de suprimento, utilização de softwares livres pela própria TI ou pelas áreas de negócio, dispositivos móveis, pessoais (BYOD –Device), IoT (Internet das Coisas), Inteligência Artificial, Home-Office, existência de Shadow ITs, etc;

• Implementar políticas, procedimentos, controles e testes regulares de segurança dos backups e restores, para assegurar que estejam protegidos contra ataques, e funcionais caso precisem ser utilizados;

• Implementar controles rígidos de segurança para Servidores e ativos de rede, p.e., servidores de email, de acesso a Internet, DNS, Active Directory, de Banco de Dados, Firewalls, Roteadores, Switches, etc;

• Implementar um Centro de Operações de Segurança (SOC – Security Operations Center) multifuncional, com atuação defensiva, ofensiva e proativa, em regime contínuo (24x7x365), com foco nos processos críticos de SIC, p.e.: gerenciamento de Vulnerabilidades, Patches, Atualizações, Compliance, Coleta e Tratamento de Logs, Monitoramento Contínuo, Prevenção e Detecção de Ameaças, Tratamento de Incidentes, Testes de Invasão, administração e operação das ferramentas/tecnologias de segurança (SIEM, SOAR, Firewalls, IDS/IPS, XDR, MFA, Anti-Spam/Phishing, etc), geração e reporte de indicadores de desempenho;

• Estar em conformidade com leis e regulações pertinentes ao negócio da empresa, p.e., LGPD/GDPR, ANEEL RN 964, ONS RO-CB.BR.01, BCB Nº 85, entre outras;

• Possuir uma Estrutura de SIC dedicada e independente, liderada por um CISO (Chief Information Security Officer), e um Plano Diretor de SIC plurianual, alinhado com o Planejamento Estratégico da Organização;

• Realizar regularmente, pelo menos anualmente, e sempre que necessário, auditorias internas e externas independentes de SIC;

• Realizar de forma contínua, campanhas de conscientização e treinamentos de SIC para todos os colaboradores.

Essas ações e recomendações irão contribuir para que a empresa esteja com melhores condições de negociação e contratação de um Seguro Cyber, possivelmente levando a termos de apólice mais favoráveis e influenciando positivamente as decisões de subscrição de seguros, termos de cobertura e prêmios pelas Seguradoras.

Os ataques cibernéticos estão cada vez mais sofisticados e aumentam a cada dia. Como sempre repetimos, não é mas se uma empresa será atacada, mas quando ela será. Ter uma boa apólice de Seguro Cibernético é um componente importante de uma estratégia robusta de Segurança da Informação e Cibernética.

Fiquem seguros e protegidos, bom “Ciber Dever de Casa” a todos, e até nosso próximo artigo.

José Fontenelle, CISO Trust Advisor

CISM, CISSP, CEH, CISA, CRISC, CGEIT, CDPSE

https://www.linkedin.com/in/josefontenelle/

#TogetherWeAreStronger

Empresas Cyber-Secure Ready !

Nosso Grande Desafio !

Fonte: