Indy Dhami, parceira da KPMG, explica por onde começar com a resiliência cibernética

A mudança do InfoSec tradicional para a resiliência cibernética não é apenas uma evolução — é uma revolução.

O foco atual da cibersegurança passou da mera proteção de ativos para a garantia de que os negócios possam continuar enfrentando ameaças constantes e sofisticadas. Essa mentalidade de resiliência ajuda as empresas não apenas a se defenderem contra ameaças cibernéticas, mas também a se recuperarem e se adaptarem rapidamente aos novos desafios.

Em nosso último episódio do podcast The Segment: A Zero Trust Leadership, conversei com Indy Dhami, sócia da KPMG UK. Descobrimos a evolução do setor nos últimos vinte anos, por que a resiliência cibernética é mais importante do que nunca e como conseguir a adesão das empresas às suas iniciativas de segurança Zero Trust.

Sobre Indy Dhami, sócia da KPMG UK

Com mais de duas décadas no setor de segurança cibernética, Indy traz uma vasta experiência para seu papel como parceiro na KPMG UK. Sua jornada começou gerenciando a TI para uma empresa de arquitetura no início dos anos 2000, onde ele desenvolveu um interesse pela segurança cibernética.

A carreira de Indy mudou quando ele ajudou a criar um sistema global certificado de gerenciamento de segurança da informação. Ele aprimorou ainda mais sua experiência e liderou projetos de transformação de segurança em grande escala na Europa e em outros lugares. Antes de ingressar na KPMG, Indy trabalhou com uma empresa financiada pelo governo de Cingapura investindo em empresas cibernéticas.

Na KPMG, Indy é líder em transformação digital que impulsiona estratégias inovadoras para proteger vários setores contra ameaças emergentes. Ele é apaixonado por orientação e coaching de carreira, inspirando mudanças culturais positivas por meio de liderança autêntica.

Resolvendo o problema de conscientização da cibersegurança com resiliência

Quando Indy começou na segurança cibernética, ele se lembra da falta de urgência em relação aos ataques cibernéticos e de seu potencial de se transformarem em violações catastróficas.

A certa altura, ele realizou um exercício de simulação de crise com a liderança de sua empresa e eles não acreditaram que um ataque pudesse acontecer em sua organização. “Esses tipos de coisas muitas vezes nunca foram considerados”, explicou Indy.

Mesmo assim, ele acredita que a crescente prevalência de ataques cibernéticos nas notícias geralmente leva à percepção de que eles são rotineiros, ofuscando seu verdadeiro impacto.

“As coisas não estão sendo relatadas o suficiente”, disse Indy. “Portanto, o público em geral ainda não tem aquele momento 'aha' sobre por que a cibersegurança é tão importante.”

Essa lacuna na conscientização pública faz com que a necessidade de resiliência cibernética mais importante do que nunca. A percepção pública atual das violações e as ferramentas tradicionais que usamos para preveni-las ou detectá-las não são suficientes. Se for impossível impedir todas as violações, as organizações devem estar preparadas proativamente para impedir as violações quando elas acontecerem.

Por onde começar com a resiliência cibernética: apetite e tolerância ao risco

É por isso que a resiliência cibernética é tão importante. “No momento, você pode ver ataques cibernéticos uma, duas, três vezes nas notícias”, disse ele. “Ela se tornou mais comum e as pessoas estão fazendo perguntas mais desafiadoras sobre isso aos líderes de segurança.”

A mudança da segurança da informação tradicional para a resiliência cibernética é um divisor de águas. Não se trata mais apenas de resolver problemas — trata-se de manter as operações durante uma crise.

“Resiliência, não apenas resiliência cibernética, mas resiliência operacional, tem tudo a ver com como eu posso continuar funcionando mesmo quando todas essas coisas inesperadas estão acontecendo”, disse Indy.

Isso ressalta a necessidade urgente de infraestruturas que possam resistir às interrupções causadas por ataques cibernéticos. À medida que os incidentes cibernéticos se tornam mais frequentes, os líderes de segurança são pressionados a desenvolver estratégias robustas de resiliência.

Então, por onde as organizações podem começar? UM Estratégia Zero Trust é uma das melhores maneiras de trabalhar em prol da resiliência cibernética. Zero Trust é uma estratégia globalmente validada com base no mantra de “nunca confie, sempre verifique”. Ele ajuda as organizações a se prepararem proativamente para violações, com a segmentação de rede, também chamada Segmentação Zero Trust (ZTS), em sua essência.

Enquanto você está construindo o Zero Trust, Indy recomenda fazer essas duas perguntas:

1. Qual é o seu apetite pelo risco quando se trata de segurança cibernética?

2. Quais são os pontos de dados que permitem avaliar se você está dentro ou fora desse nível de tolerância?

Na experiência de Indy, isso ajuda os líderes de negócios a terem mais clareza sobre o que é mais importante em seus negócios, o que precisam proteger primeiro e quais tipos de informações e ferramentas precisarão para chegar lá.

Tratar a cibersegurança como um esporte coletivo

Indy também destacou as maneiras pelas quais os mandatos e diretrizes governamentais de segurança cibernética também podem ajudar organizações do setor público e privado a atingir suas metas de resiliência.

Diretrizes federais dos EUA, como Modelo de maturidade de confiança zero da CISA (ZTMM) ou da UE Mandatos do DORA e do NIS2 oferecem orientação passo a passo e melhores práticas para organizações de qualquer tamanho ou setor.

Um requisito fundamental que a Indy vê nesses documentos é a visibilidade em tempo real e de ponta a ponta dos fluxos de tráfego da rede e da carga de trabalho.

“Você precisa começar com uma compreensão muito boa de como as coisas em seu ambiente interagem”, explicou ele. “Mas também, como todos os seus fornecedores e dependências upstream e downstream interagem em um nível de sistema?” Com essas informações, as equipes poderão entender a exposição de sua rede e, em seguida, implementar os controles de segurança corretos.

Esse mergulho profundo na infraestrutura da sua rede significa envolver equipes em toda a organização. Para a Indy, uma navegação bem-sucedida exige transformar a segurança em um “esporte coletivo”. A adoção de uma abordagem colaborativa promove a resiliência e alinha as iniciativas de segurança cibernética às metas de toda a organização.

Como conectar o Zero Trust às metas de negócios

Do ponto de vista de Indy, uma estratégia Zero Trust pode ajudar os líderes de segurança a contar uma história melhor sobre como a cibersegurança está se alinhando aos objetivos de negócios.

“Tudo se resume a definir o cenário, enquadrá-lo da maneira correta e fazer com que ressoe com os líderes do conselho”, explicou Indy.

Zero Trust é uma estrutura útil para obter adesão cibernética porque retira a segurança do domínio dos controles técnicos.

A Indy recomenda que os líderes de segurança adotem essa abordagem ao defender as iniciativas e necessidades de sua equipe:

• Sempre comece com as metas da sua empresa: “Escolha sua estratégia de negócios, pegue o relatório anual, entenda o que a empresa está tentando fazer e, em seguida, sobreponha-a aos seus planos de segurança.”

• Use os princípios do Zero Trust como uma ferramenta estratégica: “Explique como a Zero Trust pode apoiar [a empresa] usando seus pilares estratégicos.”

• Guarde a tecnologia para o final: “Então, você pode começar a analisar os controles de tecnologia necessários para atender a cada um desses pontos.”

Ouça, assine e analise o podcast The Segment: A Zero Trust

Quer saber mais? Ouça o episódio completo com Indy em nosso site, Podcasts da Apple, Spotify, ou onde quer que você obtenha seus podcasts. Você também pode ler a transcrição completa do episódio.

Voltaremos com mais informações sobre o Zero Trust em breve!