fechar
fechar
Sua Rede do Amanhã
Sua Rede do Amanhã
Planeje seu caminho rumo a uma rede mais rápida, segura e resiliente projetada para os aplicativos e usuários aos quais você oferece suporte.
          Experimente a Netskope
          Coloque a mão na massa com a plataforma Netskope
          Esta é a sua chance de experimentar a plataforma de nuvem única do Netskope One em primeira mão. Inscreva-se em laboratórios práticos e individualizados, junte-se a nós para demonstrações mensais de produtos ao vivo, faça um test drive gratuito do Netskope Private Access ou participe de workshops ao vivo conduzidos por instrutores.
            Líder em SSE. Agora é líder em SASE de fornecedor único.
            Líder em SSE. Agora é líder em SASE de fornecedor único.
            A Netskope estreia como líder no Quadrante Mágico™ do Gartner® para Single-Vendor SASE
              Protegendo a IA generativa para leigos
              Protegendo a IA generativa para leigos
              Saiba como sua organização pode equilibrar o potencial inovador da IA generativa com práticas robustas de segurança de dados.
                E-book moderno sobre prevenção de perda de dados (DLP) para leigos
                Prevenção Contra Perda de Dados (DLP) Moderna para Leigos
                Obtenha dicas e truques para fazer a transição para um DLP fornecido na nuvem.
                  Livro SD-WAN moderno para SASE Dummies
                  SD-WAN moderno para leigos em SASE
                  Pare de brincar com sua arquitetura de rede
                    Compreendendo onde estão os riscos
                    O Advanced Analytics transforma a maneira como as equipes de operações de segurança aplicam insights orientados por dados para implementar políticas melhores. Com o Advanced Analytics, o senhor pode identificar tendências, concentrar-se em áreas de preocupação e usar os dados para tomar medidas.
                        Os 6 casos de uso mais atraentes para substituição completa de VPN herdada
                        Os 6 casos de uso mais atraentes para substituição completa de VPN herdada
                        O Netskope One Private Access é a única solução que permite que o senhor aposente sua VPN definitivamente.
                          A Colgate-Palmolive protege sua “propriedade intelectual "” com proteção de dados inteligente e adaptável
                          A Colgate-Palmolive protege sua “propriedade intelectual "” com proteção de dados inteligente e adaptável
                            Netskope GovCloud
                            Netskope obtém alta autorização do FedRAMP
                            Escolha o Netskope GovCloud para acelerar a transformação de sua agência.
                              Vamos fazer grandes coisas juntos
                              A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.
                                Netskope solutions
                                Netskope Cloud Exchange
                                O Netskope Cloud Exchange (CE) oferece aos clientes ferramentas de integração poderosas para alavancar os investimentos em toda a postura de segurança.
                                  Suporte Técnico Netskope
                                  Suporte Técnico Netskope
                                  Nossos engenheiros de suporte qualificados estão localizados em todo o mundo e têm diversas experiências em segurança de nuvem, rede, virtualização, fornecimento de conteúdo e desenvolvimento de software, garantindo assistência técnica de qualidade e em tempo hábil.
                                    Vídeo da Netskope
                                    Treinamento Netskope
                                    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem. Conte conosco para ajudá-lo a proteger a sua jornada de transformação digital e aproveitar ao máximo as suas aplicações na nuvem, na web e privadas.

                                      Um olhar mais atento aos ambientes de trabalho híbrido e à cobertura de seguro cibernético

                                      29 de dezembro de 2022

                                      As organizações que buscam por cobertura de seguro cibernético normalmente são obrigadas a fornecer evidências de uma panóplia de controles sobre segurança da informação, recuperação de desastres e riscos relacionados e requisitos de tecnologia e melhores práticas.  

                                      Quando os dados organizacionais residiam apenas on-premise, documentar, avaliar e fazer a manutenção desses controles parecia desafiador para alguns, mas para as equipes de TI, segurança e negócios responsáveis por eles era bem simples. Eles precisavam instalar certos tipos de fechaduras nas portas dos data centers, adicionar câmeras para monitorar o tráfego de pedestres e implementar protocolos específicos limitando quem tem acesso à qual informação. Dentro de indústrias altamente regulamentadas, as exigências das seguradoras muitas vezes andavam lado a lado do cumprimento da regulamentação.

                                      No entanto, a COVID-19 se tornou uma pedra no sapato na cobertura de segurança cibernética e no gerenciamento de risco para muitas organizações. Quando uma parte substancial da força de trabalho começou a trabalhar remotamente, a estrutura de controle de segurança apropriada tornou-se obsoleta. O problema foi agravado pelo aumento simultâneo do uso corporativo de soluções de Software as a Service (SaaS).

                                      Hoje, talvez a única coisa mais desafiadora do que construir uma estrutura de controle eficaz seja produzir evidências de que essa estrutura está protegendo efetivamente aplicações, dados e usuários corporativos. 

                                      Agora, os gerentes de cibersegurança corporativa precisam se concentrar em entender como seus controles devem ser estruturados na era pós-covid e como devem ser compartilhados com auditores internos e externos, do mesmo jeito que fazem com as seguradoras. 

                                      O que mudou exatamente?

                                      A pandemia influenciou a migração da força de trabalho ao redor do mundo. Os funcionários ainda estão fazendo os mesmos trabalhos que costumavam fazer no escritório, mas de casa ou de outros lugares.

                                      Agora é muito mais difícil que os métodos tradicionais de segurança do perímetro sejam eficazes nesse ambiente híbrido. Mesmo que a equipe de segurança tivesse largura de banda para viajar até a residência de cada funcionário, a instalação de câmeras de segurança e de travas nas portas do escritório não faz sentido. Nem tão pouco é viável que uma auditoria terceirizada seja contratada para viajar até cada local e verificar se a segurança do ambiente do funcionário está à altura.

                                      Certamente, desafios similares a esse já surgiram antes da COVID-19 aparecer. Algumas pessoas viajavam à trabalho, enquanto outras ocasionalmente levavam tarefas para casa à noite. Nesses casos, as equipes de segurança exigiam que os trabalhadores remotos se conectassem à rede corporativa via VPN e então a comprovação da segurança dessas conexões era solicitada pelos auditores. Quando isso acontecia, os funcionários remotos eram normalmente a exceção e não a regra.

                                      O trabalho híbrido e a transformação da nuvem inverteram essa equação. Revelou-se a importância e a eficácia dos controles baseados no perímetro e tecnologias de segurança relacionadas. Ter que se conectar à rede corporativa antes de usar um aplicativo SaaS ou navegar na Internet se tornou entediante e passou a comprometer a qualidade da experiência do usuário.

                                      Durante a pandemia, algumas organizações tomaram decisões tecnológicas arriscadas em relação ao acesso remoto, permitindo o bypass de soluções sobrecarregadas e com excesso de assinaturas, o que aumentou suas superfícies de ataque. Somado ao aumento do tempo pessoal gasto em dispositivos, isso fez com que a superfície de ataque também se estendesse a serviços frequentemente confiáveis como Office 365, Google Suite e uma série de outras ferramentas que os funcionários usam tanto em suas vidas profissionais quanto pessoais. Isso deixou lacunas em muitas estratégias tecnológicas de segurança cujos recursos tradicionais não tinham a capacidade de determinar a diferença entre uma instância corporativa do Office 365 e uma instância pessoal usada em casa. Como resultado desta rápida mudança do ambiente operacional de negócios e do cenário híbrido de trabalho, os requisitos de controle dos provedores de seguro cibernético só se intensificaram à medida que a frequência dos ataques e as perdas resultantes de incidentes de segurança continuaram a aumentar. 

                                      Quais são as expectativas das seguradoras?

                                      Quando uma organização sai em busca de uma apólice de seguro cibernético, a seguradora naturalmente pede informações sobre o negócio, ambiente operacional, programa de segurança e controles relacionados a ele. Essas informações normalmente são coletadas na primeira etapa, quando ocorre aplicação de cobertura suplementar e metodologia geral de avaliação necessária para entender os riscos. O processo baseado em explicar os controles, fornecendo uma visão geral do programa de cibersegurança/gestão de risco e documentação de apoio, é um jeito comum para começar - mas cada vez mais as seguradoras esperam ver provas.

                                      Frequentemente, a produção dessas provas pode ser baseada nos atestados derivados de auditorias externas, avaliações e testes de intrusão. Entretanto, qualquer auditoria ou resultado de avaliação é uma solução momentânea, pois reflete a eficácia e o estado operacional dos controles durante um período estático e não os fluxos que comprovam como a superfície de ataque de uma organização pode mudar rapidamente. Cada vez mais, as seguradoras estão buscando oportunidades de monitoramento contínuo de seus contratantes para destacar riscos e vulnerabilidades emergentes que poderiam indicar e melhor prever situações que resultariam em um registro de sinistro.  

                                      O que isso significa tanto para o segurado quanto para a companhia de seguros? 

                                      A realidade é que há oportunidade para que ambos os lados obtenham insights a partir da visibilidade contínua. O desafio é que com o trabalho híbrido e os impactos da transformação digital contínua nos negócios, é crucial olhar além do simples inventário de usuários, identidades, dispositivos, aplicações e dados que pode ser abstraído do ambiente operacional tradicional de data center. Agora é fundamental entender completamente os pontos-chave de dados e o inventário dos serviços em nuvem em uso: os que são implementados pela TI; aqueles que são usados por cada setor (shadow IT) e os serviços mais pessoais que são introduzidos diariamente pelos usuários finais. 

                                      Embora o inventário seja um ponto de partida, é tão importante entender quem está acessando esses serviços e como eles são configurados, quanto qual a quantidade de dados que está sendo enviada aos serviços em questão. Esses são elementos-chave que podem mudar rapidamente o perfil de risco de um segurado e muitas vezes passam despercebidos. Por fim, é necessário avaliar os serviços de nuvem acima mencionados a partir de uma perspectiva de risco e ameaça à cadeia de suprimentos e ser capaz de responder perguntas sobre a postura de segurança da organização na nuvem.

                                      Certamente, a indústria já está vendo mais seguradoras integrarem ciência atuarial, avaliação de superfície de ataque e monitoramento de ameaças a seus serviços, bem como basearem seus preços em previsões orientadas por telemetria que revela quais usuários têm mais probabilidade de sofrer uma violação de dados e qual incidente de segurança pode levar a um sinistro. Independentemente de como ou quando isso acontecerá totalmente, as equipes de segurança que estão transformando seus ambientes e modernizando suas arquiteturas têm as capacidades e os dados necessários para compreender seus riscos cibernéticos e, em última instância, fornecer provas de que estão gerenciando efetivamente o risco que desejam transferir. 

                                      Este artigo foi originalmente publicado pela Security Magazine

                                      author image
                                      Nathan Smolenski
                                      Nathan is an experienced CISO & risk management and tech leader with over 19 years across financial services, mgmt.. consulting, insurance, and software verticals.
                                      Nathan is an experienced CISO & risk management and tech leader with over 19 years across financial services, mgmt.. consulting, insurance, and software verticals.

                                      Mantenha-se informado!

                                      Assine para receber as últimas novidades do Blog da Netskope