Bem-vindo ao CISO Corner, o resumo semanal de artigos da Dark Reading adaptados especificamente para leitores de operações de segurança e líderes de segurança. Todas as semanas, oferecemos artigos coletados em nossa operação de notícias, The Edge, DR Technology, DR Global e nossa seção de comentários. Temos o compromisso de trazer a você um conjunto diversificado de perspectivas para apoiar o trabalho de operacionalização de estratégias de segurança cibernética para líderes de organizações de todos os formatos e tamanhos.

Nesta edição do CISO Corner:

Corporações com governança cibernética criam quase 4 vezes mais valor

Por David Strom, escritor colaborador, Dark Reading

Aqueles com comitês especiais que incluem um especialista cibernético, em vez de contar com o conselho completo, têm maior probabilidade de melhorar a segurança e o desempenho financeiro.

As empresas que se esforçaram para seguir as diretrizes para uma melhor governação da segurança cibernética criaram quase quatro vezes o seu valor para os acionistas, em comparação com aquelas que não o fizeram.

Essa é a conclusão de uma nova pesquisa realizada em conjunto pela Bitsight e pelo Diligent Institute, que mediu a experiência em segurança cibernética em 23 fatores de risco diferentes, como o presença de infecções por botnets, servidores que hospedam malware, certificados de criptografia desatualizados para comunicações na Web e por e-mail e portas de rede abertas em servidores públicos.

O relatório também concluiu que ter comitês de conselho separados focados em riscos especializados e conformidade de auditoria produz os melhores resultados. “Os conselhos que exercem a supervisão cibernética através de comités especializados com um membro especialista em cibersegurança, em vez de confiarem no conselho completo, têm maior probabilidade de melhorar as suas posturas gerais de segurança e desempenho financeiro”, concorda Ladi Adefala, consultor de segurança cibernética e CEO da Omega315.

Leia mais: Corporações com governança cibernética criam quase 4 vezes mais valor

Relacionado: Com as proibições do TikTok, agora é a hora da governança operacional

Até os profissionais cibernéticos são enganados: por dentro de um ataque de Vishing na vida real

Por Elizabeth Montalbano, escritora colaboradora, Dark Reading

Os invasores bem-sucedidos concentram-se na manipulação psicológica das emoções humanas, e é por isso que qualquer pessoa, mesmo um profissional cibernético ou um especialista em tecnologia, pode se tornar uma vítima.

Tudo começou com um telefonema por volta das 10h30 de uma terça-feira, de um número de celular desconhecido. Eu estava trabalhando no meu computador em casa e geralmente não atendo ligações de pessoas que não conheço. Por algum motivo, decidi parar o que estava fazendo e atender aquela ligação.

Esse foi o meu primeiro erro de uma série de vários que cometeria nas quatro horas seguintes, durante as quais fui o vítima de uma campanha de vishing ou voice-phishing. No final da provação, tinha transferido quase 5,000 euros em fundos da minha conta bancária e em Bitcoin para os golpistas. Meu banco conseguiu cancelar a maioria das transferências; no entanto, perdi 1,000€ que tinha enviado para a carteira Bitcoin dos atacantes.

Os especialistas dizem que não importa quanta experiência você tenha em conhecer as táticas que os invasores usam ou experiência na detecção de golpes. A chave para o sucesso dos atacantes é algo mais antigo que a tecnologia, pois reside na manipulação daquilo que nos torna humanos: as nossas emoções.

Leia mais: Não atenda o telefone: por dentro de um ataque de vishing na vida real

Relacionado: Hackers norte-coreanos têm como alvo pesquisadores de segurança – novamente

A mitigação do risco de terceiros requer uma abordagem colaborativa e completa

Comentário de Matt Mettenheimer, Diretor Associado de Consultoria Cibernética, Prática de Segurança Cibernética, S-RM

A questão pode parecer assustadora, mas a maioria das organizações tem mais agência e flexibilidade para lidar com riscos de terceiros do que imaginam.

O risco de terceiros apresenta um desafio único para as organizações. Superficialmente, um terceiro pode parecer confiável. Mas sem total transparência no funcionamento interno desse fornecedor terceirizado, como uma organização pode garantir que os dados que lhe são confiados estão seguros?

Muitas vezes, as organizações minimizam esta questão premente, devido aos relacionamentos de longa data que mantêm com os seus fornecedores terceiros. Mas o surgimento de fornecedores de quarto e até de quinto deve incentivar as organizações a protegerem os seus dados externos. Fazendo devida diligência de segurança adequada em um fornecedor terceirizado deve agora incluir a descoberta se o terceiro terceiriza dados de clientes privados para partes mais a jusante, o que provavelmente acontece, graças à difusão dos serviços SaaS.

Felizmente, existem cinco etapas simples e prontas para uso que fornecem um roteiro inicial para as organizações mitigarem com sucesso os riscos de terceiros.

Leia mais: A mitigação do risco de terceiros requer uma abordagem colaborativa e completa

Relacionado: Cl0p reivindica o ataque MOVEit; Veja como a gangue fez isso

Governo australiano redobra a aposta na segurança cibernética após grandes ataques

Por John Leyden, escritor colaborador, Dark Reading Global

O governo propõe regulamentações de segurança cibernética mais modernas e abrangentes para empresas, governos e fornecedores de infraestruturas críticas no Down Under.

As fraquezas nas capacidades de resposta a incidentes cibernéticos da Austrália foram reveladas em setembro de 2022 ataque cibernético ao provedor de telecomunicações Optus, seguido em outubro por um ataque baseado em ransomware ao provedor de seguros de saúde Medibank.

Como resultado, o governo australiano está a elaborar planos para renovar as leis e regulamentos de segurança cibernética, com uma estratégia proclamada para posicionar a nação como líder mundial em segurança cibernética até 2030.

Além de abordar as lacunas nas leis existentes sobre crimes cibernéticos, os legisladores australianos esperam alterar a Lei de Segurança de Infraestruturas Críticas (SOCI) de 2018 para colocar uma maior ênfase na prevenção de ameaças, partilha de informações e resposta a incidentes cibernéticos.

Leia mais: Governo australiano redobra a aposta na segurança cibernética após grandes ataques

Relacionado: Portos australianos retomam operação após interrupção cibernética devastadora

Guia do CISO para determinação de materialidade e risco

Comentário de Peter Dyson, chefe de análise de dados, Kovrr

Para muitos CISOs, “materialidade” continua a ser um termo ambíguo. Mesmo assim, eles precisam ser capazes de discutir a materialidade e o risco com seus conselhos.

A SEC agora exige que as empresas públicas avaliar se os incidentes cibernéticos são “materiais”, como limite para relatá-los. Mas para muitos CISOs, materialidade continua a ser um termo ambíguo, aberto à interpretação com base no ambiente de segurança cibernética único de uma organização.

O cerne da confusão em torno da materialidade é determinar o que constitui uma “perda material”. Alguns consideram que a materialidade impacta 0.01% da receita do ano anterior, o que equivale a aproximadamente um ponto base de receita (o que equivale a uma hora de receita para empresas Fortune 1000).

Ao testar diferentes limites em relação aos benchmarks do setor, as organizações podem obter uma compreensão mais clara da sua vulnerabilidade a ataques cibernéticos materiais.

Leia mais: Guia do CISO para determinação de materialidade e risco

Relacionado: Aviso de violação voluntária de arquivos prudenciais junto à SEC

A bonança do dia zero gera mais explorações contra empresas

Por Becky Bracken, editora sênior, Dark Reading

Os adversários avançados estão cada vez mais focados nas tecnologias empresariais e nos seus fornecedores, enquanto as plataformas de utilizadores finais estão a ter sucesso em sufocar explorações de dia zero com investimentos em segurança cibernética, de acordo com a Google.

Houve 50% mais vulnerabilidades de dia zero exploradas em estado selvagem em 2023 do que em 2022. As empresas estão sendo atingidas de forma especialmente dura.

De acordo com a pesquisa da Mandiant e do Google Threat Analysis Group (TAG), adversários sofisticados apoiados por estados-nação estão aproveitando uma ampla superfície de ataque empresarial. As pegadas que consistem em software de vários fornecedores, componentes de terceiros e bibliotecas extensas fornecem um rico campo de caça para aqueles com capacidade de desenvolver explorações de dia zero.

Grupos de crimes cibernéticos têm se concentrado particularmente em software de segurança, incluindo Gateway de segurança de e-mail Barracuda; Dispositivo de segurança adaptável Cisco; Ivanti Endpoint Manager, Mobile e Sentry; e Trend Micro Apex One, acrescentou a pesquisa.

Leia mais: A bonança do dia zero gera mais explorações contra empresas

Relacionado: Atacantes exploram bugs de dia zero para contornar a segurança da Microsoft

Colocando remediação de segurança na agenda da diretoria

Comentário de Matt Middleton-Leal, Diretor Geral da EMEA Norte, Qualys

As equipes de TI podem resistir melhor ao escrutínio ajudando seu conselho a compreender os riscos e como eles são corrigidos, além de explicar sua visão de longo prazo para o gerenciamento de riscos.

Os CEOs do passado podem não ter perdido o sono sobre como sua equipe de segurança está abordando CVEs específicos, mas com CVEs para bugs perigosos como Apache Log4j permanecendo sem correção em muitas organizações, a correção da segurança está agora na agenda de forma mais ampla. Isso significa que mais líderes de segurança estão sendo solicitados a fornecer informações sobre o quão bem estão gerenciando os riscos do ponto de vista comercial.

Isto leva a questões difíceis, especialmente em torno dos orçamentos e da forma como estão a ser utilizados.

A maioria dos CISOs são tentados a usar informações sobre os princípios fundamentais de segurança de TI – o número de problemas interrompidos, atualizações implantadas, problemas críticos corrigidos – mas sem comparação com outros riscos e problemas de negócios, pode ser difícil manter a atenção e demonstrar que um CISO está entregando .

Para superar estes problemas, temos de utilizar comparações e dados de contexto para contar uma história sobre o risco. Fornecer números básicos sobre o número de patches implantados não descreve o enorme esforço necessário para corrigir um problema crítico que colocava em risco um aplicativo gerador de receita. Também não mostra o desempenho da sua equipe em relação aos outros. Essencialmente, você deseja demonstrar o que é bom para o conselho e como você continua entregando ao longo do tempo.

Leia mais: Colocando remediação de segurança na agenda da diretoria

Relacionado: O que está faltando na sala de reuniões: CISOs

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation