Neste mundo cada vez mais digital e conectado que vivemos hoje, os riscos cibernéticos são, sem dúvida, na minha opinião, uma das maiores ameaças à segurança e à continuidade dos negócios. Podem notar que cada vez mais escrevo a este respeito aqui nos meus posts, não por menos, pois ando cada vez mais preocupado com este risco, que me tira o sono...
Infelizmente, empresas, independentemente do porte ou setor, e engana-se as pequenas e de setores fora do financeiro que acham que estão tranquilas e são menos atraentes aos ataques, pois todas estão constantemente expostas a estes ataques cibernéticos, que podem resultar em perdas financeiras significativas, danos irreparáveis à reputação e interrupções operacionais.
Diante dessa realidade, torna-se imprescindível que as empresas adotem uma abordagem proativa e abrangente na gestão de riscos cibernéticos.
Para ajudar nisto, queria trazer abaixo uma série de perguntas relevantes que as empresas devem se fazer para avaliar e fortalecer sua postura de segurança cibernética, abrangendo quatro áreas principais: Governança e Garantia, Entendimento do Risco, Resposta a Incidentes e Treinamento. Cada uma dessas áreas é fundamental para garantir que a organização esteja preparada para prevenir, detectar e responder a incidentes cibernéticos de forma eficaz.
Governança e Garantia:
A governança eficaz e a garantia são essenciais para a gestão de riscos cibernéticos, por isto é importante que a empresa tenha processos robustos de gestão de riscos, responsabilidades claramente definidas e uma compreensão completa das exposições regulatórias e legais. Assim como também é fundamental alinhar a estratégia de risco cibernético com as prioridades estratégicas da empresa, até para conseguir investir adequadamente na mitigação de riscos cyber.
Compreensão do Risco:
Neste mundo do risco cibernético, um dos primeiros passos que precisa dar é entender o valor das informações que a empresa possui, assim como o impacto potencial de uma violação, para conseguir atuar na proteção adequada destes seus ativos críticos. Neste sentido, é importante a avaliação do valor dos dados, as expectativas dos clientes em relação à segurança cibernética e a necessidade de due diligence em relação a terceiros e fornecedores.
Resposta a Incidentes:
A preparação e a resposta eficazes a incidentes cibernéticos são fundamentais para minimizar danos financeiros e reputacionais, desde a detecção de ataques, a existência e a eficácia dos planos de resposta a incidentes, e a capacidade da empresa de realizar análises de causa raiz e implementar melhorias contínuas.
Treinamento:
O treinamento contínuo e abrangente é fundamental para garantir que todos os funcionários estejam cientes dos riscos cibernéticos e saibam como agir em caso de uma violação, por isto destacar sempre a importância de programas de treinamento eficazes e o suporte contínuo para reforçar o aprendizado e promover uma cultura de segurança cibernética.
Dito isto e feita esta breve introdução, vamos então ao que interessa e foco deste post, que são as perguntas, e principalmente as sugestões de resposta para cada uma delas separadas por assunto:
1) Governança e Garantia:
- Temos um processo eficaz de gestão de riscos empresariais e os riscos cibernéticos estão totalmente integrados a este processo?
É fundamental que a gestão de riscos cibernéticos seja uma parte integrante do processo geral de gestão de riscos da empresa. Isso garante uma abordagem holística e coordenada para identificar, avaliar e mitigar riscos cibernéticos.
A integração completa assegura que as estratégias de mitigação de risco cibernético não sejam desenvolvidas em silos, mas estejam alinhadas com os objetivos e práticas de gestão de risco da organização como um todo.
- Está claro sobre quem é responsável por gerenciar riscos? Podemos identificar quem no conselho é responsável, quem explica os riscos a eles e com base em quais informações as decisões são tomadas?
A atribuição clara de responsabilidades é bem importante, pois é necessário identificar membros específicos do conselho responsáveis pela supervisão dos riscos cibernéticos e assegurar que eles recebam informações precisas e oportunas para a tomada de decisões.
Normalmente tem suporte direto de um comitê técnico de riscos ou auditoria, como os que participo, e que fazemos exatamente isto.
A comunicação eficaz e a responsabilidade claramente definidas ajudam a garantir que os riscos sejam adequadamente gerenciados e mitigados.
- Consideramos nosso apetite ao risco em relação aos riscos cibernéticos, comunicamos isso a todas as funções e sabemos se nossos recursos estão sendo implantados de forma eficaz? Como saberíamos se a tomada de riscos inadequada estava ocorrendo?
O apetite ao risco da empresa em relação aos riscos cibernéticos deve ser claramente definido e comunicado a todas as áreas da empresa.
Assim como depois monitorar a implantação de recursos e avaliar regularmente a eficácia das medidas de mitigação ajuda a identificar e corrigir rapidamente qualquer tomada de risco inadequada.
- Estamos totalmente cientes da exposição regulatória e legal? Quais leis e regulamentos de privacidade e segurança de dados podem se aplicar à organização? Quais são as implicações para nossas decisões de investimento?
A compreensão completa das exigências regulatórias e legais é essencial para evitar penalidades e garantir conformidade, desde a identificação de todas as leis de privacidade e segurança de dados aplicáveis, até a avaliação de como essas exigências influenciam as decisões de investimento da empresa.
- Nossa estratégia de risco cibernético apoia nossas prioridades estratégicas mais amplas? Nossa mitigação de risco facilita e permite o crescimento? Nossos controles estão atrasando ou bloqueando o progresso e somos ágeis o suficiente para explorar oportunidades de mercado?
A estratégia de risco cibernético deve estar alinhada com as prioridades estratégicas da empresa, facilitando o crescimento e a inovação, sem comprometer a segurança.
Por isto que as avaliações periódicas dos controles existentes garantem que eles não estejam impedindo o progresso e que a empresa esteja preparada para responder rapidamente a novas oportunidades de mercado.
- Investimos suficientemente na mitigação de risco cibernético, incluindo treinamento, preparação para incidentes e garantia? Como priorizamos nosso investimento?
A alocação adequada de recursos para a mitigação de riscos cibernéticos é vital, o que inclui desde os investimentos em treinamento contínuo, até a preparação para incidentes e programas de garantia.
E como não poderia deixar de ser, priorizar investimentos com base em avaliações de risco ajuda a maximizar a eficácia das medidas de segurança.
- Nossa cultura apoia as atividades necessárias para gerenciar este risco?
A cultura organizacional deve promover a conscientização e o comportamento proativo em relação aos riscos cibernéticos, e isso pode ser alcançado por meio de campanhas de conscientização, treinamento regular e a incorporação de práticas de segurança no cotidiano da empresa.
- Nosso programa de auditoria interna nos oferece garantia suficiente em relação à nossa gestão de risco cibernético?
Auditorias internas regulares são essenciais para avaliar a eficácia dos controles de segurança cibernética, onde um programa de auditoria robusto deve identificar vulnerabilidades e recomendar melhorias contínuas.
2) Entendendo o Risco:
- Qual é o valor da informação que possuímos (propriedade intelectual, informações financeiras, planos estratégicos e outras informações críticas para o negócio, dados de clientes/pessoais)? Quais são nossas "joias da coroa" que precisam de maior proteção?
Identificar e avaliar o valor das informações críticas é fundamental para priorizar a proteção, e logicamente as "joias da coroa" devem receber níveis mais altos de segurança para prevenir perdas significativas.
- Qual é o impacto potencial se essa informação for roubada ou corrompida (dano à reputação; dano ao valor de mercado e preço das ações; perda de vantagem competitiva e participação de mercado, responsabilidades diretas para terceiros afetados, censura regulatória)?
Avaliar o impacto potencial de uma violação de dados ajuda a determinar a criticidade das informações e a desenvolver estratégias adequadas de mitigação de risco.
- Quanto custaria a um terceiro obter essa informação e quanto ela valeria para eles?
Ao entender o valor econômico das informações para terceiros ajuda a avaliar o risco de ataques cibernéticos e a necessidade de proteger esses dados.
- Quais são as expectativas de nossos clientes sobre nossa segurança cibernética?
Nunca deixe de olhar as expectativas dos clientes em relação à segurança cibernética, que são altas, especialmente em setores como serviços financeiros e saúde. É fundamental garantir que essas expectativas sejam atendidas, até para manter a confiança e a lealdade dos clientes.
- Quantas de nossas funções críticas de negócios são terceirizadas para terceiros? Conduzimos a devida diligência sobre os riscos de segurança cibernética em toda nossa empresa estendida e cadeia de suprimentos, incluindo o uso de serviços baseados em nuvem? Quanto de informação privada e sensível é compartilhada com esses terceiros? Quais disposições existem nos contratos para lidar com o risco cibernético?
A terceirização de funções críticas exige uma avaliação rigorosa dos riscos cibernéticos em toda a cadeia de suprimentos, onde os contratos devem incluir cláusulas específicas para a proteção de dados e resposta a incidentes.
- Nossos sistemas estão projetados com os melhores níveis de segurança? O que poderia ser melhorado?
Cada vez mais a engenharia de sistemas deve seguir as melhores práticas de segurança para garantir proteção robusta, por isso avaliações contínuas e atualizações de segurança são necessárias para manter os sistemas protegidos contra novas ameaças.
- Temos uma estratégia eficaz para dispositivos móveis? Como controlamos o uso de dispositivos pessoais para negócios organizacionais?
Uma estratégia abrangente para dispositivos móveis deve incluir políticas de uso aceitável, configuração segura e monitoramento de dispositivos pessoais usados para fins comerciais.
- Estamos usando mídia social em nossa empresa? Como sabemos o que nossos funcionários, clientes e o público estão dizendo sobre nós nas mídias sociais? Temos uma estratégia de mídia social e podemos gerenciar uma crise de mídia social?
O uso de mídias sociais deve ser monitorado e gerenciado através de uma estratégia bem definida, pois respostas rápidas e coordenadas a crises de mídia social são essenciais para proteger a reputação da empresa.
3) Resposta a Incidentes:
- Como saberemos se estamos sendo ou fomos atacados?
Pode parecer uma pergunta boba, mas implementar sistemas de detecção e monitoramento contínuos é super importante para identificar rapidamente atividades suspeitas e responder a ataques cibernéticos rapidamente.
- Temos um plano de resposta a incidentes e o testamos? Temos arranjos para obter conselhos e serviços especializados pós-violação (linhas de ajuda ao cliente)?
Um plano de resposta a incidentes deve ser testado regularmente para garantir sua eficácia, pois preparar recursos e serviços especializados para apoio pós-incidente ajuda a mitigar danos.
- Quem tem a responsabilidade de declarar um incidente de risco cibernético?
Claramente definir as responsabilidades de declaração de incidentes garante uma resposta rápida e coordenada, minimizando o impacto de uma violação.
- Nossos planos de continuidade de negócios incluem cenários de risco cibernético?
Planos de continuidade de negócios devem integrar cenários de risco cibernético para garantir que a organização possa continuar operando durante e após um incidente.
- Podemos ter cobertura sob nossas apólices de seguro existentes para perdas financeiras causadas por riscos cibernéticos? Existem outras possibilidades de transferência de risco?
Revisar as apólices de seguro existentes e considerar outras opções de transferência de risco, como seguros cibernéticos específicos, ajuda a proteger financeiramente a organização contra perdas cibernéticas.
Talvez só não seja tão barato como gostaria, principalmente dependendo do seu estágio de maturidade na gestão e mitigação destes riscos.
- Estamos preparados para fazer uma análise de causa raiz após uma violação, particularmente para identificar fatores humanos, e estamos preparados para agir com base nas descobertas?
Realizar análises de causa raiz após incidentes ajuda a identificar e corrigir vulnerabilidades, prevenindo recorrência; estar sempre à disposição para implementar mudanças com base nessas análises é essencial.
- Poderíamos defender nosso nível de preparação no rescaldo de um ataque?
Assegurar que a preparação para incidentes seja robusta e documentada permite que a empresa defenda suas ações e mitigação de riscos em caso de auditorias ou investigações.
4) Treinamento:
- Temos um programa eficaz de treinamento em risco cibernético, incluindo a notificação de violações e ações subsequentes?
Programas de treinamento contínuos e abrangentes garantem que todos os funcionários estejam cientes dos riscos cibernéticos e saibam como responder a violações.
- Existem iniciativas em vigor para apoiar os alunos após o treinamento?
Suporte contínuo após o treinamento, como sessões de reciclagem e recursos de autoajuda, reforça o aprendizado e garante a aplicação prática das habilidades adquiridas.
- Nosso treinamento em risco cibernético foca na tecnologia, na empresa ou no indivíduo?
O treinamento deve abordar todos os aspectos: tecnologia, procedimentos organizacionais e comportamento individual, garantindo uma abordagem integrada para a mitigação de riscos cibernéticos.
Ao fazer todas essas perguntas acima, e entender suas respostas, a empresa pode fortalecer sua postura de segurança cibernética, melhorar sua resiliência e mitigar riscos de forma eficaz.
Tão importante quanto as respostas, é saber fazer as perguntas, e direcioná-las corretamente, pois entender por que as precisamos fazer, vai fazer com que você entenda aonde estão seus riscos, e assim como lidar com eles. Espero que elas ajudem neste sentido.