O Futuro de Zero Trust e de SASE Começa Hoje! Inscreva-se já

fechar
fechar
A plataforma do futuro é a Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) e Private Access for ZTNA integrados nativamente em uma única solução para ajudar todas as empresas em sua jornada para o Secure Access Service Arquitetura de borda (SASE).

Vá para a plataforma
Vídeo da Netskope
Next Gen SASE Branch é híbrida — conectada, segura e automatizada

Netskope Next Gen SASE Branch converge o Context-Aware SASE Fabric, Zero-Trust Hybrid Security e SkopeAI-Powered Cloud Orchestrator em uma oferta de nuvem unificada, inaugurando uma experiência de filial totalmente modernizada para empresas sem fronteiras.

Saiba mais sobre Next Gen SASE Branch
Pessoas no escritório de espaço aberto
Desenvolvendo uma Arquitetura SASE para Leigos

Obtenha sua cópia gratuita do único guia de planejamento SASE que você realmente precisará.

Baixe o eBook
Adote uma arquitetura Secure Access Service Edge (SASE)

O Netskope NewEdge é a maior nuvem privada de segurança de alto desempenho do mundo e oferece aos clientes cobertura de serviço, desempenho e resiliência inigualáveis.

Conheça a NewEdge
NewEdge
Sua Rede do Amanhã

Planeje seu caminho rumo a uma rede mais rápida, segura e resiliente projetada para os aplicativos e usuários aos quais você oferece suporte.

Receba o whitepaper
Sua Rede do Amanhã
Netskope Cloud Exchange

O Cloud Exchange (CE) da Netskope oferece aos clientes ferramentas de integração poderosas para tirar proveito dos investimentos em estratégias de segurança.

Saiba mais sobre o Cloud Exchange
Vídeo da Netskope
Mude para serviços de segurança na nuvem líderes de mercado com latência mínima e alta confiabilidade.

Conheça a NewEdge
Lighted highway through mountainside switchbacks
Permita com segurança o uso de aplicativos generativos de IA com controle de acesso a aplicativos, treinamento de usuários em tempo real e a melhor proteção de dados da categoria.

Saiba como protegemos o uso de IA generativa
Ative com segurança o ChatGPT e a IA generativa
Soluções de zero trust para a implementação de SSE e SASE

Conheça o Zero Trust
Boat driving through open sea
Netskope obtém alta autorização do FedRAMP

Escolha o Netskope GovCloud para acelerar a transformação de sua agência.

Saiba mais sobre o Netskope GovCloud
Netskope GovCloud
  • Recursos chevron

    Saiba mais sobre como a Netskope pode ajudá-lo a proteger sua jornada para a nuvem.

  • Blog chevron

    Saiba como a Netskope viabiliza a segurança e a transformação de redes através do security service edge (SSE).

  • Eventos e workshops chevron

    Esteja atualizado sobre as últimas tendências de segurança e conecte-se com seus pares.

  • Security Defined chevron

    Tudo o que você precisa saber em nossa enciclopédia de segurança cibernética.

Podcast Security Visionaries

Cookies, não biscoitos
A apresentadora Emily Wearmouthas se reúne com os especialistas David Fairman e Zohar Hod para discutir o passado, o presente e o futuro dos cookies da Internet.

Reproduzir o podcast
Podcast: Biscoitos, Não Biscoitos
Últimos blogs

Como a Netskope pode habilitar a jornada Zero Trust e SASE por meio dos recursos de borda de serviço de segurança (SSE).

Leia o Blog
Sunrise and cloudy sky
SASE Week 2023: Sua jornada SASE começa agora!

Replay das sessões da quarta SASE Week anual.

Explorar sessões
SASE Week 2023
O que é o Security Service Edge?

Explore o lado de segurança de SASE, o futuro da rede e proteção na nuvem.

Saiba mais sobre o Security Service Edge
Four-way roundabout
  • Nossos clientes chevron

    Netskope atende a mais de 2.000 clientes em todo o mundo, incluindo mais de 25 dos 100 da Fortune.

  • Customer Solutions chevron

    Estamos aqui junto com você a cada passo da sua trajetória, assegurando seu sucesso com a Netskope.

  • Netskope Community chevron

    Aprenda com outros profissionais de rede, dados e segurança.

  • Treinamento e certificação chevron

    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem.

Ajudamos nossos clientes a estarem prontos para tudo

Ver nossos clientes
Woman smiling with glasses looking out window
A talentosa e experiente equipe de Serviços Profissionais da Netskope fornece uma abordagem prescritiva para sua implementação bem sucedida.

Conheça os Serviços Profissionais
Netskope Professional Services
A Comunidade Netskope pode ajudar você e sua equipe a obter mais valor de produtos e práticas.

Acesse a Comunidade Netskope
A Comunidade Netskope
Proteja sua jornada de transformação digital e aproveite ao máximo seus aplicativos de nuvem, web e privados com o treinamento da Netskope.

Saiba mais sobre Treinamentos e Certificações
Group of young professionals working
  • Empresa chevron

    Ajudamos você a antecipar os desafios da nuvem, dos dados e da segurança da rede.

  • Por que Netskope chevron

    A transformação da nuvem e o trabalho em qualquer lugar mudaram a forma como a segurança precisa funcionar.

  • Liderança chevron

    Nossa equipe de liderança está fortemente comprometida em fazer tudo o que for preciso para tornar nossos clientes bem-sucedidos.

  • Parceiros chevron

    Fazemos parceria com líderes de segurança para ajudá-lo a proteger sua jornada para a nuvem.

Apoiando a sustentabilidade por meio da segurança de dados

A Netskope tem o orgulho de participar da Visão 2045: uma iniciativa destinada a aumentar a conscientização sobre o papel da indústria privada na sustentabilidade.

Saiba mais
Apoiando a sustentabilidade por meio da segurança de dados
O mais alto nível de Execução. A Visão mais avançada.

A Netskope foi reconhecida como Líder no Magic Quadrant™ do Gartner® de 2023 para SSE.

Obtenha o Relatório
A Netskope foi reconhecida como Líder no Magic Quadrant™ do Gartner® de 2023 para SSE.
Pensadores, construtores, sonhadores, inovadores. Juntos, fornecemos soluções de segurança na nuvem de última geração para ajudar nossos clientes a proteger seus dados e seu pessoal.

Conheça nossa equipe
Group of hikers scaling a snowy mountain
A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.

Saiba mais sobre os parceiros da Netskope
Group of diverse young professionals smiling
Miniatura da postagem

No último episódio do podcast Security Visionaries, o apresentador Max Havey se reúne com Rich Davis, Diretor de Marketing de Soluções de Produtos da Netskope, para um mergulho profundo no tópico crucial da higiene cibernética. Especificamente, eles avaliam o impacto dos dias de conscientização cibernética e revelam os desafios que as empresas enfrentam para incutir hábitos de higiene cibernética durante todo o ano. Descubra como a autenticação multifator e os princípios de confiança zero podem elevar sua higiene cibernética. Desde tornar a segurança cibernética pessoal até convertê-la em uma iniciativa de negócios, este episódio está repleto de dicas úteis para melhorar a segurança cibernética em sua organização e vida pessoal.

Em última análise, tudo se resume a esse usuário. Temos que facilitar as coisas para os usuários. Temos que explicar às pessoas por que isso é tão importante e temos que colocar em prática ferramentas que realmente as ajudem a tomar uma boa decisão e a não recorrer a essas práticas ruins.

-Rich Davis, Diretor de Marketing de Soluções de Produtos
Rich Davis

 

Carimbos de data/hora

*00:01 - Introdução*09:50 - Autenticação multifator e princípios de confiança zero
*00:21 - Avaliando a contribuição dos dias de conscientização cibernética*10:12 - Minimize as superfícies de ataque e evite a perda de dados por meio da confiança adaptável
*01:05 - As dificuldades de implementar a higiene cibernética ao longo do ano*12h55 - Abordagem do risco de exposição de dados e reforço da educação do usuário
*02:16 - A vida útil do treinamento de segurança e o apoio à educação contínua*13:45 - Configurações incorretas e o risco associado de exposição de dados
*03:12 - Mal-entendidos e desafios na manutenção da higiene cibernética*15:59 - Tornando a higiene cibernética uma iniciativa empresarial
*04:30 - Estratégias para incentivar práticas mais saudáveis de higiene cibernética nas empresas*18:24 - Conclusões
*07:00 - Exemplos práticos de como relacionar a higiene cibernética a situações pessoais

 

Outras formas de ouvir:

mais verde

Neste episódio

Rich Davis
Diretor de Marketing de Soluções de Produtos da Netskope

chevron

Rich Davi

Richard Davis é diretor de estratégia de soluções da Netskope. Ele fornece insights e conhecimentos especializados, país por país, sobre resiliência e defesas cibernéticas, como segurança na nuvem, Security Services Edge e gerenciamento de riscos, além de supervisionar a estratégia de produtos e soluções para a região EMEA.

Davis é um profissional experiente em segurança cibernética com mais de 20 anos de experiência e é apaixonado por ajudar as organizações a proteger seus funcionários e dados. Antes da Netskope, Davis ocupou os cargos de arquiteto de soluções principal, diretor de produtos e soluções, EMEA e, em seguida, estrategista de segurança cibernética na Proofpoint.

Logotipo do LinkedIn

Max Havey
Especialista de conteúdo sênior na Netskope

chevron

Max Havey

Max Havey é especialista sênior em conteúdo da equipe de comunicações corporativas da Netskope. Ele se formou na Escola de Jornalismo da Universidade de Missouri, com bacharelado e mestrado em Jornalismo de Revistas. Max trabalhou como redator de conteúdo para startups nos setores de software e seguros de vida, bem como editou ghostwriting em vários setores.

Logotipo do LinkedIn

Rich Davi

Richard Davis é diretor de estratégia de soluções da Netskope. Ele fornece insights e conhecimentos especializados, país por país, sobre resiliência e defesas cibernéticas, como segurança na nuvem, Security Services Edge e gerenciamento de riscos, além de supervisionar a estratégia de produtos e soluções para a região EMEA.

Davis é um profissional experiente em segurança cibernética com mais de 20 anos de experiência e é apaixonado por ajudar as organizações a proteger seus funcionários e dados. Antes da Netskope, Davis ocupou os cargos de arquiteto de soluções principal, diretor de produtos e soluções, EMEA e, em seguida, estrategista de segurança cibernética na Proofpoint.

Logotipo do LinkedIn

Max Havey

Max Havey é especialista sênior em conteúdo da equipe de comunicações corporativas da Netskope. Ele se formou na Escola de Jornalismo da Universidade de Missouri, com bacharelado e mestrado em Jornalismo de Revistas. Max trabalhou como redator de conteúdo para startups nos setores de software e seguros de vida, bem como editou ghostwriting em vários setores.

Logotipo do LinkedIn

Transcrição do episódio

Aberto para transcrição

Max Havey [00:00:02] Olá e bem-vindos a mais uma edição do podcast Security Visionaries, um podcast sobre o mundo dos dados cibernéticos e da infraestrutura tecnológica, reunindo especialistas de todo o mundo e de vários domínios. Sou o apresentador de hoje, Max Havey, e hoje vamos falar sobre higiene cibernética com nosso convidado, Rich Davis, diretor de marketing de soluções de produtos da Netskope. Como o senhor está indo hoje, Rich?

Rich Davis [00:00:21] Sim. Olá, Max. É ótimo estar aqui. Estou ansioso pela conversa de hoje. Certamente um assunto que me é caro, pois já falei anteriormente, em detalhes, sobre o fator humano e como os seres humanos podem afetar as coisas. E, certamente, o tópico de hoje está muito alinhado com isso.

Max Havey [00:00:36] Sem dúvida. Então, sim, vamos começar aqui. Assim, no início do ano, tendemos a ver muitos dias de conscientização relacionados ao ciberespaço. Coisas como o National Change Your Password Day (Dia Nacional de Mudança de Senha), que será em 1º de fevereiro, ou hoje, quando for lançado, o Safer Internet Day (Dia da Internet Mais Segura). Mas, de acordo com a sua experiência, o senhor descobriu que esses tipos de dias de conscientização são realmente eficazes? Por exemplo, o que o senhor vê como impulsionador da mudança que os profissionais de segurança estão realmente buscando quando se trata de lidar com esse elemento humano?

Rich Davis [00:01:05] Sim, quero dizer, é claro que isso é uma faca de dois gumes. Em primeiro lugar, não podemos deixar de registrar qualquer publicidade. Qualquer publicidade, seja qual for a conscientização, é ótima. Acho que o problema é que, como acontece com todos esses tipos de coisas, isso pode se tornar uma espécie de "ok, vou fazer isso hoje e esquecerei outro dia." E, é claro, isso precisa ser um esforço durante todo o ano, certamente quando se trata de nossos usuários e das pessoas, que são a primeira linha de defesa. Portanto, eles precisam pensar sobre isso e sobre a segurança e o que estão fazendo no dia a dia. Então, novamente, é ótimo que nos concentremos nisso em um dia específico. Isso não é tão bom, pois pode fazer com que o senhor se esqueça do assunto outras vezes. E isso também é visto com frequência nos dados. Se o senhor observar alguns dos dados históricos sobre o comportamento do usuário, verá que, se uma ou duas semanas após o treinamento de conscientização sobre segurança for realizado, o resultado será melhor, as taxas de cliques no conteúdo serão menores. Havia maior probabilidade de fazer essas coisas. Eles se lembram de coisas como alertas de DLP que também caem, mas depois desaparecem. E, sim, é por isso que esse tipo de coisa é bastante eficaz. Sim. As organizações realmente precisam pensar que essa é uma evolução constante. Dia após dia, semana após semana.

Max Havey [00:02:16] Sem dúvida. A meia-vida do treinamento em segurança é muito baixa, com base em tudo o que já ouvi de nossos vários membros da equipe de CSO aqui. Portanto, é muito bom encontrar maneiras de manter a consciência durante todo o ano. Mas, em um único dia, parece ser um pouco ineficaz em geral.

Rich Davis [00:02:32] Sim, sim, com certeza. E acho que esses dias de internet mais segura e de mudança de senha deveriam ser, de certa forma, resignados àquele lixo de antigamente. E, na verdade, deveríamos estar pensando nisso, o senhor sabe, de forma muito mais holística.

Max Havey [00:02:47] Definitivamente, é mais uma conversa sobre higiene cibernética durante todo o ano, em vez de, o senhor sabe, apenas dias isolados em que eles são bem intencionados. Mas os resultados nem sempre são exatamente os que desejamos.

Rich Davis [00:02:56] Deveríamos chamá-la de vida mais segura na Internet. O senhor é mesmo?

Max Havey [00:02:59] Com certeza. E acho que isso nos leva à nossa primeira grande questão aqui, que é pensar na higiene cibernética. Por que o senhor acha que a higiene cibernética pode ser uma tarefa difícil, às vezes tediosa, para as organizações assumirem e tornarem um objetivo anual?

Rich Davis [00:03:12] Sim, acho que parte disso é um aspecto histórico. Então, todos nós já passamos por isso, todos nós já recebemos aquele e-mail que tememos, e é o tempo anual que falta para o treinamento e o senhor pensa: "Ah, são oito horas, não tenho tempo para isso". E automaticamente temos essa opinião negativa. E acho que, como indivíduos, também temos essa sensação inerente de que não precisamos fazer isso, que sim, temos bom senso, sabemos o que estamos fazendo. Portanto, acho que isso tem um papel importante. E acho que isso é parte do problema. Também acho que, com muita frequência, isso é orientado pelos benefícios para a organização e não pelos benefícios para o indivíduo. E acho que há muito, e já vimos isso ser realmente bem-sucedido, quando o foco é o indivíduo em suas famílias. Se o senhor puder estender isso para, sabe, como manter o senhor e sua família seguros. Então, as organizações, creio eu, têm mais impacto porque o senhor as torna relevantes para aquele indivíduo.

Max Havey [00:04:01] Sem dúvida, apelar para o lado pessoal do usuário parece ser a maneira de torná-lo real para ele. E não se trata apenas, o senhor sabe, de falar sobre dados amplos, abstratos e confidenciais. É o número do seu Seguro Social. É preciso garantir que suas senhas estejam seguras e que suas informações bancárias estejam seguras, pois são informações pessoais e identificáveis por um motivo. Nessa mesma linha, em suas funções, como o senhor encontrou maneiras de promover melhores práticas de higiene cibernética em sua organização? Talvez enfatizar melhor esse tipo de elemento pessoal que faz parte de tudo isso?

Rich Davis [00:04:30] Sim. E acho que isso se resume a algumas coisas. Em primeiro lugar, como o senhor está elaborando esse treinamento. E sim, estamos focados, o senhor sabe, especificamente em identidade e senhas até certo ponto, mas é claro que é muito mais amplo do que isso. Acho que se trata disso, como o senhor diz, de tornar a coisa pessoal. E isso significa dar exemplos da vida real que podem acontecer com os senhores, tanto no sentido comercial, quanto no sentido pessoal. Portanto, relacione o roubo de seus próprios cartões de crédito pessoais ao roubo de PIA ou propriedade intelectual da empresa. E o efeito que isso pode ter. Porque, mais uma vez, o senhor o torna pessoal, real e vinculável ao que eles pensam no dia a dia e com o que eles podem se preocupar pessoalmente. Acho que se pensarmos nisso em termos do outro lado, que é o tempo. E, quando fazemos isso, acho que se trata realmente de uma alimentação gradual ao longo do ano. Acho que as organizações só podem dedicar um determinado tempo para treinar seus usuários em um ano, e muitas organizações vão para "Okay. Certo. Oito horas. Vamos fazer isso com o senhor nesta data." E, na verdade, uma maneira muito mais eficaz é separar isso. Sim, o senhor pode ter, por motivos de conformidade, a necessidade de fazer determinado treinamento anualmente, porque precisa atender a esses requisitos, mas fora disso, o tempo é muito melhor aproveitado. O objetivo é alimentá-lo gradualmente e ter esse treinamento na hora certa, mas também torná-lo relevante para as situações que a empresa está enfrentando. Se o senhor puder, de fato, informar o usuário, o seu pessoal sobre os tipos de ameaças que são relevantes para a sua organização, em vez de torná-lo muito genérico. Por outro lado, ele fornece ao senhor esse vínculo com a organização. Eles podem entender por que estão sendo solicitados a fazer determinado treinamento. Portanto, o senhor obterá uma resposta geral melhor a esse treinamento. E já vi isso em primeira mão na minha vida passada, trabalhando com organizações e tentando acompanhar as mudanças de comportamento, passando desse tipo de programa de treinamento que ocorre uma vez por ano para um programa de treinamento muito mais direcionado, que se estende ao longo do ano, no qual o conteúdo é alimentado por gotejamento, e o treinamento é muito, muito mais amplo do que apenas aquele e-learning que ocorre uma vez por ano nesse portal.

Max Havey [00:06:44] Sem dúvida. E só para aprofundar um pouco mais, como o senhor falou, sabe, encontrar maneiras de tornar esses tipos de treinamentos relevantes para o usuário específico em sua família, em sua vida diária. Bem, o senhor pode nos dar alguns exemplos de como isso se parece e como isso acontece?

Rich Davis [00:07:00] Sim. Vou dar ao senhor um exemplo relevante para mim. Tenho filhos que acabaram de se tornar adolescentes e que, pela primeira vez, começaram a ter controle de suas próprias contas bancárias. Passamos de cuidar deles mesmos a dar-lhes acesso a aplicativos em seus telefones e a poder usar o Apple Pay. Portanto, isso é pessoal para mim diretamente, mas o foco é: bem, como o senhor protege isso? O senhor não quer que seu dinheiro suado, que pode ter sido ganho em tarefas domésticas, desapareça da noite para o dia porque o senhor foi descuidado com suas informações. Portanto, o senhor sabe, desde pequenos, começamos a conversar com eles sobre como se manterem seguros. Ambos têm gerenciadores de senhas nos quais podem armazenar suas principais credenciais. Falei sobre o motivo pelo qual isso é necessário e tentei torná-lo relevante para a situação em que o senhor se encontra. Portanto, acho que esse é apenas um ótimo exemplo de como o senhor pode tentar tornar isso relevante. Portanto, eles agora usam gerenciadores de senhas diariamente. Isso significa que eles têm apenas uma credencial da qual precisam se lembrar. Pode ser complexo porque há apenas uma coisa a ser lembrada. E isso acontece com uma criança de 13 e 15 anos. Portanto, se eles conseguem fazer isso, o senhor sabe, não há razão para que todas as pessoas, do ponto de vista comercial, não possam fazer a mesma coisa. Minha filha agora me encaminha, dá uma olhada e diz: "Ah, pai, olha como essa é óbvia". E, o senhor sabe, é um ótimo exemplo de como podemos realmente ver, sabe, o benefício do que estamos fazendo. Acho que outro ótimo exemplo é torná-lo relevante para o que as pessoas entendem no dia a dia. Portanto, se o senhor olhar para o YouTube, verá que houve uma enorme série de hacks em canais muito conhecidos do YouTube, incluindo alguns dos maiores canais de tecnologia e segurança do mercado. Linus Tech tTips. Um dos maiores tipos de dicas que muitas pessoas observam nessa área. Eles tiveram sua conta do YouTube comprometida e são pessoas que adotam as melhores práticas de segurança, usam gerenciadores de senhas, usam 2FA, mas ainda há uma maneira de contornar isso. E é aí que o elemento humano, mais uma vez, tem que entrar, pois não se trata apenas de proteger e impedir que as pessoas obtenham acesso, mas de detectar e informar essa organização muito rapidamente. E, nesse caso específico, alguém observou um comportamento incomum. E, em vez de tentar encobrir e pensar que fizeram algo errado, eles entraram em contato com alguém da organização imediatamente e puderam lidar com o problema muito, muito mais rapidamente. E, mais uma vez, isso entra no campo de, bem, qual é a exposição do senhor? Mesmo que alguém tenha conseguido violar uma organização, que outras ferramentas o senhor tem à disposição? Porque não se trata apenas de autenticação. E, certamente, quando falamos com os usuários, não se trata apenas do aspecto da identidade. São outras coisas que eles podem fazer para garantir a proteção das informações.

Max Havey [00:09:50] Sem dúvida. E para clicar duas vezes no que o senhor acabou de mostrar. Como a autenticação multifator e os princípios de confiança zero, outro termo que costumamos usar muito neste programa e amplamente no mundo em conversas sobre segurança cibernética. Como esses tipos de coisas se encaixam nisso como ferramentas que as organizações podem usar para ajudar a promover melhor a higiene cibernética e manter essa conversa em andamento?

Rich Davis [00:10:12] Sim, tem havido muita movimentação para a autenticação multifator, e muitas organizações estão usando isso agora. Eles também estão usando o gerenciamento de acesso privilegiado para adotar uma abordagem ainda mais profunda para grande parte desse acesso privilegiado. Acho que a questão é que sempre há uma maneira de contornar, embora haja um ser humano envolvido, sempre há uma maneira de contornar a possibilidade de roubar tokens multifator, fazendo com que o usuário os insira em páginas de credenciais falsas e faça login imediatamente. E então eles podem, é claro, criar seu próprio MFA. Muitas dessas técnicas também podem ser contornadas de outra forma. Portanto, não é tão simples como colocar todas essas práticas recomendadas. As organizações realmente precisam pensar no conceito de, bem, como posso evitar a perda de dados caso o pior aconteça? Vou presumir que, em algum momento, um dos meus usuários terá suas credenciais roubadas. Alguém vai conseguir acesso. Tenho que limitar esse raio de perda. Tenho que limitar essa superfície de ataque. E é aí que coisas como os princípios de confiança zero entram em ação. Porque se o senhor estiver pensando em um usuário que trabalha diariamente, em um mundo ideal, ele deve ter apenas a menor ansiedade necessária para fazer seu trabalho e nada mais. Portanto, se o trabalho deles é entrar em uma plataforma financeira e fazer a entrada de dados. Então, eles devem ter acesso apenas a esse aplicativo. O senhor deve ter regras para definir como e quando eles podem acessar. Mas o mais importante é que há uma série de ações que eles podem realizar. Não há necessidade de obter relatórios. Não é necessário que eles consigam extrair dados e enviá-los para serviços públicos de compartilhamento de arquivos etc., o que, obviamente, é exatamente o que esse ataque conseguirá quando estiver tentando roubá-los, tentar extrair informações e tentar usar serviços remotos para exfiltrar esses dados. E é aí que entra todo esse conceito de realmente ter uma confiança adaptável, não gosto do termo confiança zero. Ele se baseia em bons princípios, mas é realmente uma confiança adaptativa contínua. Trata-se de analisar a situação atual, analisar as ações, analisar vários critérios diferentes, incluindo a autenticação do usuário, a localização do usuário, as ações do usuário, as ações históricas e as ações atuais para tomar essa decisão. Isso deve ou não deve ocorrer. E, portanto, usando esse tipo de abordagem, o senhor pode limitar sua superfície de ataque caso o pior aconteça. O senhor também pode usar esses tipos de políticas para acionar alertas quando as organizações começarem a perceber uma diferença no comportamento. Por exemplo, a análise comportamental da entidade do usuário (UEBA) é uma ótima ferramenta, e uma ferramenta ainda melhor quando está profundamente incorporada a vários outros elementos de política para conduzir esse tipo de processo de alerta e resposta a incidentes.

Max Havey [00:12:55] Sem dúvida. E acho que o grau de alertar os usuários quando eles estão fazendo algo arriscado e detectar esse tipo de coisa, esse tipo de proteção de dados é fundamental. Há algum tempo, Steve Riley, da nossa equipe de CSO, escreveu uma série de artigos falando sobre aplicativos SAS com vazamentos que as pessoas estão usando, sejam eles, você sabe, webmail ou buckets do Amazon S3 ou blobs do Azure, como não ter as permissões adequadas configuradas para esses diferentes serviços que as pessoas usam no dia a dia, certificando-se de que estão mantendo as coisas relativamente bloqueadas e não expondo acidentalmente os dados porque não percebem que deixaram isso aberto para qualquer pessoa na Internet que tenha esse link. Qualquer um que force sua entrada ou tenha encontrado uma maneira de entrar em tudo isso. É muito fácil configurar algo de forma errada e nem mesmo perceber o que o senhor fez.

Rich Davis [00:13:45] Sim, e se observarmos muitos dos incidentes que tivemos nos últimos dois anos, é que foram organizações que não tiveram necessariamente uma conta comprometida e acesso dessa forma, mas apenas dados que estavam no local errado e aos quais alguém teve acesso que não deveria ter. Seja ele público ou de alguém de sua organização que tenha acesso a um conteúdo que talvez não devesse ter e, em seguida, o coloca em um local onde não deveria colocá-lo, pois não deveria ter acesso a ele em primeiro lugar, e depois ele é transferido para um local que não deveria. E esse é, obviamente, o outro aspecto do fator humano, que é treinar e ajudar nossos usuários a entender a melhor maneira de usar os sistemas e onde eles devem e não devem colocar os dados. É claro que isso leva a um tópico totalmente diferente, sobre o qual poderíamos falar o dia inteiro, sobre usuários e se estamos ou não facilitando o trabalho deles. O senhor sabe, as pessoas usam ferramentas porque é fácil, certo? Porque é fácil fazer as coisas. E esse é um tópico completo sobre a implementação de soluções e metodologias de acesso que facilitam o trabalho do usuário. Se o senhor puder colocar esses mecanismos, facilitará o trabalho do usuário, mas ainda assim ficará dentro dos limites do que a empresa permite e dos controles de segurança existentes. Eles não seguirão esses outros caminhos para tentar contornar essas ferramentas. Então, novamente, poderíamos falar sobre esse tópico por horas e horas, mas ele está muito ligado a toda essa filosofia de autenticação, que é apenas um aspecto de todo esse conceito de confiança adaptativa contínua.

Max Havey [00:15:14] Bem, e isso introduz especificamente uma espécie de círculo completo aqui, onde, o senhor sabe, um dia de mudança de senha é uma boa desculpa para as pessoas mudarem a senha, mas muitas pessoas vão receber essa notificação de mudança de senha e vão adiar para o dia seguinte e para o dia seguinte e para o dia seguinte, e então não vão mudar a senha até que seja absolutamente necessário. Assim, isso se torna uma espécie de frustração para alguns usuários. E acho que essa é uma maneira interessante de reunir tudo isso, pois ter esse tipo de prática de higiene cibernética durante todo o ano, mantendo essas coisas em andamento, não vai resolver todos os problemas, mas manter essa conversa sempre ativa, sempre em andamento com sua organização, significa que o senhor não tem apenas esses dias. O senhor sabe, eu só penso em segurança cibernética um dia por ano, quando definitivamente tenho que mudar minhas senhas.

Rich Davis [00:15:59] E, é claro, a única coisa que não queremos que eles façam é mudar a senha para algo que seja fácil de lembrar, que esteja bem no final do livro. Ou inclua uma planilha do Excel. Essa é a outra desvantagem de mudar as senhas, certo? E exigir senhas em vários sistemas. Então, sim, é por isso que eu defendo muito um gerenciador de senhas. O senhor tem uma senha complexa e importante que pode ser lembrada. O senhor faz o rodízio regularmente. E, é claro, também alternamos as senhas porque é uma boa prática, pois isso bloqueia alguém. Portanto, se alguém tiver acesso, a conta será bloqueada. E esse é um dos principais motivos pelos quais fazemos isso. Mas, em última análise, tudo se resume a esse usuário. Temos que facilitar as coisas para os usuários. Temos que explicar às pessoas por que isso é tão importante e temos que implementar ferramentas que realmente as ajudem a tomar uma boa decisão e a não recorrer a essas práticas ruins.

Max Havey [00:16:54] Com certeza. E meio que nos leva ao final de nossas perguntas aqui. Rich, se o senhor tivesse que dar um tipo de conselho para os profissionais de segurança no que se refere à higiene cibernética e, sabe, facilitar e melhorar esses processos de modo geral para que seja uma conversa ao longo do ano, qual seria esse conselho?

Rich Davis [00:17:10] Bem, conversei com muitos líderes além da parte de segurança da organização. E onde eu vejo as organizações com a melhor abordagem é quando isso se torna uma iniciativa de negócios. Muitas pessoas veem isso como uma iniciativa de segurança, mas essa é uma iniciativa de negócios. Portanto, conseguir a adesão dos executivos, obter patrocínio, ter um CEO que faça uma pequena introdução em vídeo sobre a importância disso, fazer com que os líderes de negócios se apropriem de suas próprias ferramentas e ajudem a disseminá-las para seus funcionários é fundamental para que isso aconteça. Portanto, meu conselho aqui é que, se o senhor ainda não estiver fazendo isso, considere como pode passar de uma iniciativa de segurança para uma iniciativa de negócios mais ampla e abrangente.

Max Havey [00:17:55] Com certeza. A coisa que atrairá mais olhares para isso, que envolverá mais pessoas nisso. Assim, isso não se torna uma questão mais ampla. Ninguém quer acabar nas manchetes por causa de uma violação ou qualquer outra coisa como resultado de um problema de segurança cibernética. Portanto, é para o bem de toda a organização para a qual o senhor está trabalhando fazer esse esforço.

Rich Davis [00:18:11] Sim, 100%.

Max Havey [00:18:12] Excelente. Bem, Rich, imagino que o senhor e eu poderíamos continuar falando sobre isso por mais ou menos uma hora, mas acho que estamos chegando ao fim do prazo. Então, muito obrigado pelo senhor ter se juntado a nós. Essa palestra foi excelente, e o senhor teve muitos insights excelentes para oferecer aqui.

Rich Davis [00:18:24] Max, só tenho a dizer que foi um prazer me juntar ao senhor hoje. Espero que alguns de nossos ouvintes tenham pelo menos, sabe, uma ou duas dicas, uma ou duas coisas que possam tirar do podcast de hoje e levar para suas organizações.

Max Havey [00:18:37] Excelente. E os senhores estão ouvindo o podcast Security Visionaries, e eu fui o apresentador, Max Havey, se gostaram deste episódio, compartilhem-no com um amigo e assinem o Security Visionaries na plataforma de podcast de sua preferência. Lá, o senhor pode ouvir nosso catálogo de episódios anteriores e ficar de olho nos novos que serão lançados a cada duas semanas, apresentados por mim ou pela minha co-apresentadora, a maravilhosa Emily Wearmouth. O senhor será visto no próximo episódio.

Assine o futuro da transformação da segurança

Ao enviar este formulário, você concorda com nossos Termos de Uso e reconhece a nossa Declaração de Privacidade.