A cibersegurança é hoje, mais do que nunca, uma área crítica onde o risco deve ser constantemente avaliado. O risco de interrupções de serviço não previstas, fora os muitos custos diretos e indiretos decorrentes da perda e/ou vazamento de dados, tem acontecido com mais frequências pelas notícias que acompanhamos. Não vamos nos esquecer de que praticamente tudo o que uma empresa faz hoje é digitalizado, e somado a isso, a complexidade dos ambientes e do ecossistema digital de maneira geral torna as empresas vulneráveis a ataques cibernéticos.
Embora o impacto desses riscos de cibersegurança seja inegável, muitas organizações ainda falham em construir suas estratégias e táticas de segurança cibernética em torno do conceito e da realidade do risco. Aí que entra a abordagem baseada em riscos, já usada para outros temas.
Neste sentido queria começar falando de que a abordagem de cibersegurança baseada em risco representa um avanço significativo em relação às metodologias tradicionais, pautadas na maturidade das defesas cibernéticas. Enquanto a abordagem tradicional concentra-se em alcançar e manter um determinado nível de maturidade na defesa cibernética, independentemente dos riscos reais enfrentados, a abordagem baseada em risco focaliza na identificação, priorização e mitigação dos riscos mais significativos para a empresa. Assim permite uma gestão mais estratégica e eficiente dos recursos, em contraposição ao modelo anterior que muitas vezes resultava em um crescimento descontrolado de controles e supervisões, tornando-se insustentável.
Lembrando que uma abordagem baseada em risco aplica controles conforme o apetite ao risco e a probabilidade e impacto potencial de um evento de risco. Normalmente usando uma matriz de risco, em que o eixo vertical (Y) representa o impacto do risco, e o eixo horizontal (X) representa a probabilidade de ocorrência do risco.
A matriz de riscos é uma ferramenta para ajudar as empresas a priorizar seus esforços e recursos de cibersegurança.
A ideia é que se concentrem em controlar os riscos que têm maior impacto e probabilidade de ocorrência, alinhando suas ações de mitigação de risco com seu apetite ao risco geral. Isso significa investir mais em controles para riscos que podem causar danos significativos e são mais prováveis de acontecer, enquanto aceitam um nível maior de risco, ou investem menos em controles, para riscos que são menos prováveis ou teriam um impacto menor.
Para uma abordagem mais adequada é preciso entender os seguintes pontos:
- Focar nas áreas em que um incidente de segurança pode causar o maior dano à sua empresa.
- Definir as áreas de maior risco.
- Tomar decisões fundamentadas e baseadas em fatos sobre onde alocar seus recursos.
- Determinar e mensurar o risco.
Existe uma razão importante pela qual muitas empresas não usam consistentemente uma abordagem baseada em riscos para sua estratégia de cibersegurança: frequentemente falta uma definição comum de risco e uma “linguagem” para ajudar a todos na organização a tomar decisões certeiras.
Queria fazer uma breve comparação entre estas duas abordagens de cibersegurança: a abordagem baseada na maturidade e a abordagem baseada em risco, apontar as diferenças:
1) Abordagem Baseada na Maturidade:
- Defesa: Constrói o nível mais alto de defesa em torno de tudo. Isso significa que a segurança é implementada de forma ampla, independentemente do nível de risco associado a diferentes ativos ou sistemas.
- Custo: O custo total de defesas baseadas na maturidade é maior, distribuído normalmente entre os temas de gerenciamento e governança de risco cibernético, organização de segurança, processos de segurança da informação, controles tecnológicos, e ativos chave como função econômica crítica, pessoas, dados, aplicações, infraestrutura, processos que geram valor.
- Foco: Esta abordagem foca na construção de capacidades de segurança com base em um determinado padrão ou "maturidade", sem necessariamente considerar o risco real ou o retorno sobre o investimento das defesas implementadas.
2) Abordagem Baseada em Risco:
- Defesa: Otimiza as camadas defensivas para a redução de risco e custo. Isso indica uma alocação de recursos que prioriza a proteção de ativos críticos, fazendo um uso mais eficiente dos fundos ao focar nos riscos que realmente importam.
- Custo: O custo total de defesas baseadas em risco é significativamente menor, alinhado com o risco real que cada componente enfrenta, demonstrando um investimento mais estratégico e direcionado.
- Foco: Concentra-se em construir controles personalizados para as vulnerabilidades críticas da empresa, com o objetivo de derrotar ataques a um custo geral mais baixo. A estratégia é mais ágil e adaptável, melhorando a produtividade e alinhando a segurança mais estreitamente com a estratégia de negócios e apetite ao risco da empresa.
Como vemos as diferenças entre elas em relação a custo, na abordagem baseada em risco é mais econômica em comparação com a abordagem baseada na maturidade. Já o foco de defesa, enquanto a abordagem baseada na maturidade defende tudo igualmente, a abordagem baseada em risco prioriza os ativos críticos e os riscos mais prováveis e impactantes. E em relação ao alinhamento estratégico, a abordagem baseada em risco está alinhada com o apetite ao risco da empresa e visa uma otimização que considera o retorno sobre o investimento, diferentemente da abordagem baseada na maturidade, que pode levar ao excesso de defesa e recursos desperdiçados.
A mudança para uma abordagem de cibersegurança baseada em risco é impulsionada pela crescente severidade e frequência de ameaças cibernéticas. As empresas e os reguladores estão cada vez mais exigentes quanto à gestão efetiva dos riscos cibernéticos, dada a proliferação global de ataques, por isto que o tema da abordagem baseada em risco tem ganhado destaque como uma estratégia para aprimorar a resiliência cibernética de forma econômica e eficaz.
Queria destacar a escalada de capacidade, frequência e até efetividade das ameaças cibernéticas, com grupos terroristas, crime organizado, grupos hacktivistas, e até concorrentes e as ameaças internas são categorizados de acordo com suas capacidades e frequências de ataque. Este entendimento é fundamental para a aplicação de uma abordagem baseada em risco, onde os controles são aplicados de forma a mitigar os ataques mais significativos e as vulnerabilidades mais críticas.
A transição para a cibersegurança baseada em risco implica uma série de ações estratégicas, que inicialmente, requer a plena integração da cibersegurança com a gestão de riscos corporativos, definindo as fontes de valor da empresa e compreendendo as vulnerabilidades em toda a empresa. Posteriormente, envolve a compreensão das ameaças relevantes, suas capacidades e intenções, e a vinculação dos controles às vulnerabilidades que eles pretendem abordar.
As empresas têm usado esta abordagem para reduzir efetivamente os riscos e alcançar o apetite de risco almejado a um custo significativamente menor, abandonando a aplicação uniforme de controles em favor de uma estratégia mais direcionada e econômica.
A aplicação de controles de acordo com o apetite ao risco e a probabilidade e impacto potencial de um evento de risco permite que os stakeholders compreendam e comuniquem os riscos de forma eficaz, garantindo que as medidas de controle estejam alinhadas com o apetite ao risco da organização.
A adoção de uma abordagem baseada em risco para a cibersegurança exige uma série de ações estratégicas e coordenadas para uma transição eficaz das atividades operacionais e de mudança das empresas. Este processo sistemático envolve algumas etapas fundamentais como:
- Integração Completa da Cibersegurança no Framework de Gestão de Riscos Corporativos: A cibersegurança deve ser uma parte integrante do framework de gestão de riscos da empresa, não apenas um guia superficial. Isto significa que todos os riscos ciberéticos enfrentados pela empresa devem ser analisados e categorizados dentro de uma estrutura específica de riscos cibernéticos, estabelecendo uma linguagem e expectativas comuns.
- Definição das Fontes de Valor da Empresa: Importante identificar as operações e processos que criam valor e estão sujeitos a riscos significativos. Isso pode incluir processos financeiros como empréstimos e pagamentos que estão vulneráveis a riscos como vazamento de dados e fraudes.
- Compreensão das Vulnerabilidades em Toda a Empresa: Uma avaliação abrangente das vulnerabilidades em pessoas, processos e tecnologias é necessária, focando em áreas que cibercriminosos com capacidades relevantes possam explorar.
- Compreensão dos Atores de Ameaças Relevantes e Suas Capacidades: A análise de ameaças é fundamental para alinhar os controles com as ameaças mais significativas. Deve-se entender quais são as ameaças que estão tentando prejudicar a organização e quais são suas capacidades.
- Abordagem das Vulnerabilidades: Controles existentes e novas iniciativas devem ser mapeados e implementados para fechar lacunas identificadas. A gestão de governança cibernética e a equipe de gerenciamento de riscos devem alinhar suas atividades ao framework de controle adotado pela empresa.
- Mapeamento do Ecossistema de Risco da Empresa: Este passo envolve a criação de um modelo que liga riscos corporativos, vulnerabilidades, controles e capacidades das ameaças, facilitando a tomada de decisões estratégicas e a aplicação eficiente de controles.
- Comparação dos Riscos com o Apetite ao Risco e Relatório de Redução de Risco: Utilizando uma matriz de risco, os esforços de cibersegurança são visualizados e comunicados a todos os interessados, garantindo que as medidas de controle estejam alinhadas com o nível de risco que a empresa está disposta a aceitar.
- Monitoramento dos Riscos e Esforços Cibernéticos Usando o Apetite de Risco e Indicadores-Chave de Risco e Desempenho (KRIs e KPIs): A fase final envolve o monitoramento contínuo da postura de risco corporativo e das ameaças, utilizando KRIs e KPIs para avaliar tanto os esforços empreendidos quanto a eficácia real na redução dos riscos. Importante estabelecer uma ligação entre KRIs e KPIs para proporcionar aos executivos uma base para discussões significativas de resolução de problemas sobre quais riscos estão dentro das tolerâncias e quais não estão, e as razões para isso. Esta abordagem não só suporta a tomada de decisões estratégicas, mas também traduz decisões executivas sobre a redução de riscos em implementação de controles.
Depois deste entendimento acima, muitas empresas que já possuem avaliações de maturidade cibernética estão agora mudando para este modelo baseado em risco, que permite a aplicação de controles apropriados às áreas de risco e controles internos, o que resulta em uma gestão de riscos mais efetiva.
Por fim, queria aproveitar para comentar novamente sobre a Estrutura de Segurança Cibernética do Instituto Nacional de Padrões e Tecnologia (NIST), que exatamente oferece um guia robusto para empresas no gerenciamento de riscos cibernéticos, baseado no conceito de abordagem baseada em riscos, e usando para isto cinco funções essenciais, que formam um ciclo contínuo de melhorias na segurança cibernética, que queria resumir rapidamente abaixo: Vamos detalhar cada função e como ela se integra à gestão de riscos cibernéticos.
1) Identificar:
Esta função serve como o alicerce da estratégia de cibersegurança. Ela destaca a necessidade de compreender o ambiente de negócios, os recursos que apoiam funções críticas e os riscos associados. Atividades nessa fase incluem:
- Inventário e gerenciamento de ativos digitais e físicos.
- Avaliação dos riscos para determinar como as ameaças podem impactar a empresa.
- Desenvolvimento de uma estratégia de gestão de riscos que incorpore tolerâncias ao risco e priorize atividades com base no impacto nos objetivos de negócios.
2) Proteger:
Esta fase envolve o desenvolvimento e a implementação de salvaguardas apropriadas para assegurar a continuidade das funções críticas. Inclui:
- Aplicação de controles de acesso para limitar a exposição a riscos potenciais.
- Implementação de soluções para proteger sistemas contra ataques cibernéticos.
- Treinamento e conscientização de funcionários para reforçar a postura de segurança.
3) Detectar:
É importante ter mecanismos em vigor para identificar rapidamente um evento de segurança cibernética. Esta função enfatiza:
- O monitoramento contínuo para detectar atividades anômalas que possam indicar uma ameaça.
- A utilização de sistemas de detecção de intrusão e ferramentas de análise de segurança para identificar incidentes em tempo real.
3) Responder:
Após a detecção de um incidente, é necessário atuar imediatamente. A função Responder inclui:
- Preparação e implementação de um plano de resposta a incidentes.
- Comunicação eficaz durante e após um incidente para gerenciar as expectativas das partes interessadas.
- Análise de incidentes para identificar causas e desenvolver estratégias de mitigação.
4) Recuperar:
Esta função é sobre restaurar serviços e capacidades que foram afetados por um incidente cibernético. As atividades principais são:
- Desenvolvimento de planos de recuperação para restaurar sistemas e serviços de maneira rápida e eficaz.
- Melhorias contínuas para reforçar sistemas contra incidentes futuros.
- Comunicação transparente sobre medidas de recuperação e melhorias implementadas.
A abordagem proposta pelo NIST não é única, mas sim genérica e flexível, permitindo que as empresas adaptem a estrutura à sua realidade específica, levando em consideração seus recursos, requisitos e perfis de risco. Isso a torna aplicável em diferentes setores e tamanhos de empresas.
Mais sobre o NIST em: