Proteger sua cadeia logística
Objetivos de aprendizagem
Após concluir esta unidade, você estará apto a:
- Descrever as responsabilidades de uma organização na avaliação do nível de risco cibernético dos fornecedores.
- Listar as principais habilidades necessárias para proteger o processo de desenvolvimento de aplicativos.
- Descrever a abordagem de segurança de confiança zero.
Avaliar o risco cibernético dos fornecedores
No módulo, Gerenciamento de riscos de segurança cibernética, você aprendeu a pensar como um líder de negócios e a promover parcerias internas e externas. Você também aprendeu sobre fortes práticas de higiene cibernética, implementação de autenticação forte e proteção contra phishing. Neste módulo, você aprenderá os cinco princípios restantes do guia do WEF, começando pela proteção da sua cadeia logística.
A gestão de riscos de terceiros é uma questão que assombra muitos diretores de segurança da informação (CISOs). É uma boa ideia, como líder, manter um inventário atualizado de quais dados são compartilhados com quais entidades e em que condições. Existem várias medidas que você pode tomar para mitigar o risco de comprometimento de informações confidenciais:
- Fazer due diligence nos antecedentes dos fornecedores. Isso inclui estipular as verificações de segurança feitas em relação aos funcionários de terceiros
- Limitar o acesso de terceiros de acordo com a necessidade. Compartilhe apenas as informações de que o terceiro precisa para executar sua função e revise regularmente os acordos de compartilhamento de informações.
- Vincular contratualmente os fornecedores a políticas de segurança. Os acordos de compartilhamento de dados devem declarar claramente quais políticas o fornecedor precisa seguir e as consequências se não o fizer.
- Estabelecer uma cadência para auditoria e revisão da relação com terceiros com base na essencialidade e no risco da relação.
Proteger o ciclo de vida do desenvolvimento de software (SDLC)
As partes que compõem o SDLC de uma organização são um aspecto fundamental da cadeia logística. Para proteger o SDLC, as equipes de segurança experientes permitem que os desenvolvedores programem código seguro desde o início, incorporando práticas de segurança por design em todo o ciclo de vida do projeto e desenvolvimento do produto. Você pode aprender mais sobre essa abordagem no módulo do Trailhead Responsabilidades do engenheiro de segurança de aplicativos. Além de garantir o ciclo de vida de desenvolvimento, os líderes experientes em segurança cibernética também pensam em como proteger seus dados, não importa para onde eles fluam, um conceito conhecido como abordagem de segurança de confiança zero.
Implementar uma abordagem de segurança de confiança zero
Antigamente, as organizações normalmente implantavam uma abordagem baseada em perímetro de segurança, na qual tratavam a rede da organização como uma zona confiável, colocando as defesas de segurança primárias, como firewalls e proteção antivírus, nas bordas. Hoje, os líderes de cibersegurança reconhecem a necessidade de adotar uma abordagem de confiança zero que não assume que uma organização está segura dentro dos limites de sua própria rede corporativa "protegida". Uma abordagem de confiança zero coloca o controle nos próprios ativos de dados. Você pode aprender mais sobre essa abordagem no módulo do Trailhead, Planejamento de segurança de rede.
Resumo
Nesta unidade, você aprendeu como as organizações protegem dados confidenciais, não importa onde eles são armazenados. Elas fazem isso avaliando e auditando relações com terceiros, protegendo o SDLC e migrando para uma abordagem de segurança de rede de confiança zero. Em seguida, vamos ver como as organizações podem prevenir, monitorar e responder a ameaças cibernéticas.
Recursos
-
Site externo: FEM: O guia de cibersegurança para líderes no mundo digital de hoje
-
Site externo: Câmara de Comércio dos EUA: Avaliação do risco cibernético empresarial
-
Site externo: Forbes: Por que a gestão de riscos cibernéticos de terceiros é importante para empresas modernas
-
Site externo: NIST: National Institute of Standards and Technology: Segurança do pessoal terceirizado
-
PDF: NIST: Melhores práticas de seleção e gestão de fornecedores
-
Trailhead: Desenvolvimento do programa de resiliência cibernética