Os conselhos de administração das empresas devem ser mais bem coordenados e urgentes quando abordam questões de segurança cibernética, à medida que os agentes de ameaças recorrem à inteligência artificial (IA) para melhorar o seu jogo.
A principal função do conselho é crescer e proteger os interesses da empresa junto com sua equipe de gestão. Com o digital tão integrado em muitas organizações hoje, Sanjiv Misra, presidente da Clifford Capital, disse que a segurança cibernética deve fazer parte da estratégia de crescimento de um conselho.
Além disso: Cibersegurança 101: tudo sobre como proteger sua privacidade e permanecer seguro online
Sem segurança cibernética, a capacidade de um conselho de fazer crescer o negócio ficará severamente comprometida, disse Misra, que falou durante um painel de discussão no Congresso Cibernético Charter Ásia-Pacífico da Istari Global, em Cingapura.
O colega palestrante Lee Fook Sun, presidente da Ensign InfoSecurity, concordou, observando a conexão entre os domínios físico e cibernético. Os conflitos na Ucrânia e em Gaza, por exemplo, aumentaram o número de actividades de ameaças online, impulsionadas pelo hacktivismo e pelos ataques do Estado-nação.
Também: Os melhores serviços VPN (e como escolher o certo para você)
O desafio é que as diretorias entendam como esses desenvolvimentos do mundo real impactam os ambientes online e, como tal, se traduzem em riscos de negócios para a empresa sob sua responsabilidade, disse Lee.
Uma abordagem bem-sucedida requer consciência de quais são e onde estão as ameaças e quem são os invasores. Lee disse que informações sobre ameaças fornecidas por fornecedores de segurança como a Ensign, que publicou alguns desses indicadores gratuitamente, podem oferecer insights para os conselhos.
Embora a consciência dos riscos cibernéticos tenha aumentado entre os conselhos de administração, ele disse que ainda há uma falta de coesão entre os conselhos e o resto da organização. A atenção aos riscos cibernéticos é muitas vezes motivada por preocupações regulamentares, sendo que a maior urgência geralmente é demonstrada apenas depois de a organização ter sofrido a sua primeira violação.
Lee instou os conselhos a compreender o trabalho de seu CIO e CISO e a determinar o quão eficazes esses executivos são em suas funções. Para ter um “maquinário bem lubrificado” funcionando, os conselhos precisam ser capazes de ter discussões abertas com as duas pessoas responsáveis por identificar e defender a empresa contra ameaças online, disse ele.
E como a maioria dos conselhos provavelmente tem outras questões urgentes, como finanças, para resolver, ele sugeriu que delegassem a gestão de riscos cibernéticos a um subcomitê. Ele disse que esta unidade pode então avaliar a eficácia da estratégia de segurança cibernética e da resiliência cibernética da empresa, fornecendo alguma supervisão.
Também: Os melhores serviços VPN para iPhone e iPad (sim, você precisa usar um)
Misra sublinhou a necessidade de os conselhos reconhecerem os riscos cibernéticos e enquadrarem o seu impacto nos negócios. Serão então capazes de priorizar estes riscos, para que possam identificar quais os elementos que devem ser abordados com mais urgência e como estas ameaças devem ser geridas.
E deverão empreender esta atividade em breve, à medida que o volume de ataques cibernéticos continua a aumentar.
As organizações devem adotar medidas essenciais
A Interpol, por exemplo, alertou que a maior ameaça à segurança nas próximas Olimpíadas de Paris será o crime cibernético. As Olimpíadas de Tóquio em 2021 sofreram 450 milhões de ataques cibernéticos, mais que o dobro do total das Olimpíadas de Londres de 2012.
Tais ataques podem interromper atividades que requerem o suporte de sistemas de TI, incluindo emissão de bilhetes, transporte e administração. A crescente ameaça cibernética destaca a necessidade de países como Singapura, onde os desenvolvimentos digitais estão relativamente avançados, de priorizarem a segurança cibernética e aumentarem as suas capacidades de defesa cibernética, de acordo com a Ministra das Comunicações e Informação, Josephine Teo.
Esta priorização significa reforçar as infraestruturas digitais e a resiliência das empresas que operam no país, disse Teo, durante o seu discurso no congresso.
“Eles fornecem os serviços que as pessoas utilizam e definem as nossas experiências online”, disse ela, instando as organizações a fazerem mais para proteger as suas operações cibernéticas.
Além disso: como os firewalls de IA protegerão seus novos aplicativos de negócios
Apontando para um estudo realizado pela Agência de Segurança Cibernética (CSA) de Singapura, Teo observou que a pesquisa revelou a necessidade de mais empresas adotarem medidas essenciais de segurança.
Em média, as organizações pesquisadas adotaram cerca de 70% de medidas de segurança em cinco categorias, incluindo o uso de configurações seguras para hardware e software, controle de acesso a dados e serviços e atualização de software em dispositivos e sistemas.
A adoção parcial destas medidas essenciais é “inadequada”, disse Teo.
Além disso: como a IA pode melhorar a segurança cibernética aproveitando a diversidade
O estudo entrevistou mais de 2.000 organizações em 23 indústrias e sete setores de caridade. A maioria dos entrevistados sofreu pelo menos um incidente cibernético, como ransomware ou tentativas de phishing, durante o ano passado.
“Somos tão fortes quanto o elo mais fraco. A menos que todas estas medidas essenciais sejam adotadas, as organizações ainda estão expostas a riscos cibernéticos desnecessários”, disse o ministro de Singapura.
“Na opinião da CSA, a ‘marca de aprovação’ deve ser elevada o suficiente para dar garantia – ao seu alto escalão, aos funcionários, aos fornecedores e aos clientes. Isso significa adotar o pacote completo de medidas essenciais em todos os cinco categorias.”
Apenas um terço das organizações adoptou todas as medidas em pelo menos três categorias, acrescentou ela. Quase 60% reconheceram a falta de conhecimentos ou experiência na implementação eficaz da segurança cibernética.
“Os riscos cibernéticos aumentaram e continuam a evoluir rapidamente. Isto contribuiu para a escassez de profissionais cibernéticos, [where] mesmo as organizações mais sofisticadas lutam para acompanhar”, disse Teo.
Ela observou que Cingapura tem trabalhado para aumentar seu conjunto de talentos em segurança cibernética por meio de programas como o Plano CyberSG de Talentos, Inovação e Crescimento (Plano TIG).
Além disso: Quer trabalhar com IA? Como impulsionar sua carreira em 5 passos
A IA generativa também pode ser um grande equalizador em meio à escassez global de competências em segurança cibernética, de acordo com Alvaro Garrido, CISO do Grupo Standard Chartered. Pessoas que antes não configuravam um sistema agora podem fazê-lo por meio de prompts, disse Garrido durante painel de discussão no congresso.
Ele disse que a IA generativa aumenta a produtividade e também fornece uma maneira de traduzir informações complexas sobre ameaças em informações que podem ser universalmente compreendidas. A tecnologia emergente tornou mais fácil para os profissionais ingressarem no setor de segurança cibernética, mesmo que antes não pudessem, e colmatou a lacuna de competências.
Sua equipe está experimentando IA generativa e aplicando-a a algumas tarefas nas quais observam um aumento médio de 30% na produtividade.
Daryl Pereira, CISO Ásia-Pacífico do Google Cloud, referiu-se a ganhos semelhantes com o uso de IA generativa por sua equipe, incluindo uma melhoria de 70% na localização de scripts maliciosos.
Além disso: os funcionários inserem dados confidenciais em ferramentas generativas de IA, apesar dos riscos
O fornecedor dos EUA está trabalhando na detecção de ameaças e na triagem de incidentes de segurança. Pereira disse que a IA, alimentada pela nuvem, pode processar dados mais rapidamente do que os humanos e enfrentar ameaças potenciais.
Ele também observou a possibilidade de armar profissionais não relacionados à segurança para assumir algumas tarefas de SecOps (operações de segurança), usando IA generativa como guia com instruções em linguagem natural. Por exemplo, eles podem gerenciar operações diárias no SOC (centro de operações de segurança), como a revisão de logs, liberando a equipe principal de segurança cibernética para se concentrar em funções de defesa mais avançadas.
Os atores de ameaças estão usando IA generativa
As empresas que ainda não utilizaram a IA generativa para reforçar as suas capacidades de segurança cibernética terão de enfrentar adversários online que já o fazem.
Em particular, os agentes de ameaças usam IA generativa para criar mensagens de e-mail de phishing mais convincentes, observou Simon Green, presidente da APAC Japão da Palo Alto Networks, durante o evento Ignite on Tour do fornecedor de segurança em Cingapura esta semana.
Citando os resultados de um teste interno, Green disse que a equipe SOC da empresa obteve uma taxa de cliques de 25% para um e-mail de phishing criado usando IA generativa. O e-mail foi enviado a todos os funcionários que estão em Palo Alto há pelo menos três anos, contendo uma solicitação para que atualizassem seu cadastro de funcionários após revisarem o manual de funcionários recentemente atualizado da empresa.
Observando que a taxa de cliques para o teste provavelmente será maior para empresas não relacionadas à segurança, ele disse que a IA generativa corrigiu um problema que anteriormente facilitava a identificação de mensagens de e-mail de phishing. A tecnologia emergente permitiu que os hackers produzissem essas mensagens sem erros gramaticais e o fizessem em escala e velocidade.
O acesso a essas ferramentas e informações na nuvem também permitiu que os agentes de ameaças simulassem ataques rapidamente, alterassem e ajustassem ataques ineficazes e estabelecessem novos vetores de ataque com taxas de sucesso mais altas.
Além disso, a crescente adoção da IA traz uma nova categoria de vulnerabilidades, como envenenamento de grandes modelos de linguagem e deepfakes.
Esta mudança exige uma mudança na forma como a segurança cibernética é desenvolvida e implantada, de acordo com Green, que disse que Palo Alto está procurando aplicar capacidades de IA em seu portfólio de produtos e integrar um “copiloto” de IA.
source – www.zdnet.com
