É provável que você esteja familiarizado com o termo “ativos críticos”.
Esses são os ativos tecnológicos dentro da infraestrutura de TI da sua empresa que são essenciais para o funcionamento da organização. Se algo acontecer com esses ativos, como servidores de aplicativos, bancos de dados ou identidades privilegiadas, as ramificações para a postura de segurança podem ser graves.
Mas todo ativo tecnológico é considerado um ativo crítico?
Além disso, todo ativo tecnológico é considerado um ativo crítico para os negócios?
Quanto realmente sabemos sobre os riscos dos nossos ativos críticos para os negócios?
Ativos críticos para os negócios são os ativos tecnológicos subjacentes do seu negócio em geral – e todos nós sabemos que a tecnologia é apenas um dos 3 pilares essenciais necessários para a operação bem-sucedida de um negócio. Para ter uma governança de cibersegurança completa, as organizações devem considerar: 1) Tecnologia, 2) Processos de negócios e 3) Pessoas-chave. Quando esses 3 pilares se unem, as organizações podem começar a entender seus ativos críticos para os negócios – ou aqueles que são essenciais para a operação bem-sucedida do seu negócio.
A Importância de Focar nos Ativos Críticos para os Negócios
Hoje, todo mundo sabe que não é possível consertar tudo.
Simplesmente existem muitas questões que precisam de remediação – desde CVEs até configurações incorretas, identidades excessivamente permissivas e muito mais. Nesta situação, as organizações não conseguem responder à pergunta “onde devemos concentrar nossos esforços primeiro?”. E sem um caminho claro para corrigir o que é mais importante primeiro, muitas organizações adotam o que eu chamo de “abordagem de pulverização e oração de segurança cibernética” – sem saber o que realmente importa, ou qual é o impacto real nos negócios. Eles tentam consertar tudo, levando a um desperdício de tempo, esforço e recursos.
Felizmente, a Gartner publicou recentemente um novo framework, o Continuous Threat Exposure Management, ou CTEM, framework, que pode nos ajudar a ver onde e como priorizar nossos esforços com a seguinte afirmação: “Os CISOs devem considerar o seguinte: Quais são os sistemas de TI mais críticos e expostos … em relação aos processos de negócios.” Saiba mais sobre isso no Relatório de Roteiro Estratégico da Gartner 2024 para Gerenciamento de Exposição a Ameaças, por Pete Shoard. É por isso que é essencial focar em questões que impactam o negócio. Isso ajuda as organizações a se tornarem mais eficazes e eficientes, garantindo melhor uso de recursos e esforços.
Outra grande vantagem, que pode ser ainda mais importante do que o benefício anterior? Garante que os profissionais de segurança estejam alinhados com as questões que mais preocupam a liderança sênior da sua empresa. Isso leva a uma melhor comunicação e alinhamento com os objetivos do negócio, ajudando a demonstrar que a segurança cibernética é muito mais do que proteger a pegada digital da organização e sim um verdadeiro impulsionador de negócios. Garante que você cubra e proteja os ativos tecnológicos que sustentam seus processos de negócios mais importantes e garante a redução contínua dos riscos com um forte retorno sobre o investimento, relacionado aos ativos críticos para o negócio.