Conceitos fundamentais para gerenciar o risco cibernético corporativo

Com os ambientes operacionais e os cenários de rede se transformando com frequência e as organizações migrando da nuvem para vários dispositivos e ambientes híbridos, a exposição ao risco aumenta constantemente. Por exemplo, sempre que um novo servidor ou novo dispositivo é adicionado à rede, um novo risco potencial também é adicionado. Com a exposição a ameaças sendo tão dinâmica, as organizações devem sempre medir seus riscos.

As avaliações de risco cibernético são usadas para identificar, estimar e priorizar o risco para as operações, ativos e indivíduos de qualquer organização. A justificativa para fazer avaliações de risco cibernético é que elas podem ajudar uma organização a:

• Evitar violações e incidentes de segurança
• Reduzir os custos de longo prazo
• Preparar-se para investimentos futuros
• Melhorar a colaboração entre organizações
• Atender aos requisitos de conformidade

O processo de avaliação de risco cibernético

É assim que o NIST (National Institute of Standards and Technology) recomenda que as avaliações de risco cibernético sejam conduzidas:

1. Avaliar o risco cibernético;
2. Avaliar a resposta a ele;
3. Monitorá-lo.

Depois repita. Trata-se de um bom guia para manter em mente, mas podemos incluir algumas dicas para adicionar contexto ao gerenciamento de riscos cibernéticos.

Primeiramente, o que é risco cibernético? O risco cibernético é definido como o “risco de perda financeira, interrupção ou dano à reputação de uma organização devido a algum tipo de falha em seus sistemas de tecnologia da informação”. Para determinar o que é risco, uma equação simples é usada por profissionais de tecnologia: Ameaça x Vulnerabilidade x Consequência = Risco Cibernético.

Esta é uma fórmula padrão para determinar o risco, embora alguns especialistas substituam “consequência” pela palavra “impacto”. Talvez, a melhor palavra para usar em vez de “consequência” ou “impacto” nesta equação seja “dano”. Portanto, ao descobrir o risco cibernético, a equipe sempre precisa perguntar: “Se o sistema/dados for violado ou ficar indisponível, quanto dano haverá para nossa reputação ou operações?”

Há oito perguntas que, uma vez respondidas, fornecerão às organizações a orientação necessária para concluir com êxito uma avaliação completa do risco cibernético:

1. Quais são os ativos de TI mais importantes da nossa organização?
2. Quais dados, se comprometidos, teriam um grande impacto em nossos negócios, seja por malware, ataque cibernético ou erro humano?
3. Quais são as ameaças relevantes e as fontes de ameaças para nossa organização?
4. Quais são as vulnerabilidades internas e externas?
5. Qual é o dano potencial se essas vulnerabilidades forem exploradas?
6. Qual é a probabilidade de exploração?
7. Quais ataques cibernéticos, ameaças cibernéticas ou incidentes de segurança podem afetar a capacidade de funcionamento do negócio?
8. Qual é o nível de risco que a organização se sente confortável em assumir?

Ao mesmo tempo, existem várias armadilhas comuns que podem dificultar ou prejudicar os esforços de uma organização para realizar uma avaliação precisa dos riscos cibernéticos. Elas incluem esquecer de abordar o risco de terceiros e ter uma visão de túnel em relação ao escopo, concentrando-se em uma área ao invés de olhar para o quadro geral. Outros erros possíveis são:

1. Avaliar sem ter contexto;
2. Não avaliar regularmente;
3. Não incorporar o risco cibernético ao risco geral da organização;
4. Confiar apenas em ferramentas de avaliação (às vezes você realmente precisa conversar com os humanos).

Em muitas organizações, assume-se que a responsabilidade pelo gerenciamento de riscos cibernéticos pertence apenas às equipes de TI e segurança, mas isso é incorreto. O risco cibernético deve ser responsabilidade de todos os funcionários. O risco deve ser gerenciado – com avaliações de risco e cumprimento aos requisitos de conformidade – no âmbito geral da organização, incluindo risco físico e risco operacional. O gerenciamento de riscos cibernéticos é um esporte de equipe.

Por isso, é fundamental determinar quem conduz uma avaliação de risco cibernético. Muitas organizações aproveitam sua equipe interna de TI, pois a avaliação exige uma equipe de TI com uma compreensão profunda de como as infraestruturas digitais e de rede funcionam. Algumas empresas podem querer contratar especialistas de avaliação de risco terceirizados para ajudá-los. O importante é envolver executivos que conheçam os vários fluxos de informações envolvidos no negócio, pois a visibilidade de toda a organização é fundamental para uma avaliação completa do risco cibernético.

O resumo da situação é: o gerenciamento de riscos não pode ser uma atividade única, pois o cenário de ameaças está evoluindo de forma regular e rápida. Muitas organizações cometem esse erro: elas fazem uma avaliação de risco e voltam às operações do dia a dia sem pensar novamente nisso. Mas todas as operações do dia a dia envolvem riscos. O gerenciamento de riscos cibernéticos deve ser um processo contínuo.

* Renee Tarun é vice-CISO e vice-presidente de segurança da informação da Fortinet