Gestão de Riscos Cibernéticos e sua relação com as vulnerabilidades

Não há como ignorar a necessidade de definição de estratégias para lidar com os riscos relacionados à segurança digital dentro das empresas, sobretudo por conta do avanço do cibercrime. É por isso que o conceito de gestão de riscos cibernéticos vem ganhando força junto a gestores de empresas de todos os portes e segmentos.

Há uma busca crescente dos líderes de negócios pela compreensão de como o risco cibernético é tratado em suas empresas e como os programas de cibersegurança podem reduzir esse risco.

Essa busca deriva da necessidade de atenção contínua dos gestores ao ecossistema digital de seus negócios.

Como os dados tornam-se ativos cada vez mais valiosos e o cibercrime só faz avançar, a forma mais eficiente de conduzir um programa de segurança é a partir de uma abordagem baseada em riscos.

Ou seja, para diminuir os riscos corridos por um negócio, é necessário um processo contínuo de identificação de vulnerabilidades.

Com a compreensão dos componentes do risco cibernético, os gestores conseguem direcionar os esforços de cibersegurança de forma mais eficiente.

Daí a ideia de uma gestão de riscos cibernéticos, que a princípio pode parecer muito complexa, mas pode ser implementada em todos os tipos de negócios.

Ao ler os próximos tópicos você vai compreender melhor o que significa contar com uma gestão de riscos cibernéticos e como garantir uma gestão eficiente em cibersegurança para o seu negócio.

Continue a leitura!

O que é gestão de riscos cibernéticos?

A gestão de riscos cibernéticos consiste no processo de identificação, compreensão e mitigação contínuos dos riscos relacionados à cibersegurança dentro de uma empresa.

Esse processo é fundamental para direcionar os esforços de cibersegurança de maneira eficiente.

Já é possível contar com tecnologias avançadas, boas práticas, processos, métricas e índices adequados para respaldar o desenvolvimento desta abordagem.

O primeiro passo para compreender e implementar a gestão de riscos cibernéticos é o enquadramento desses riscos como riscos operacionais.

A partir desse ponto de vista, um risco cibernético representa uma potencial perda para o negócio, que pode ser uma perda financeira ou de produtividade, um descumprimento da regulamentação vigente, um dano à imagem da marca ou uma perda física, no caso dos equipamentos e dispositivos operacionais.

Nesse contexto é que a clareza, a transparência e a compreensão contextual dos riscos são tão importantes para os gestores.

É necessário contar com uma visão realista dos riscos e das vulnerabilidades do negócio para priorizar e direcionar os esforços e investimentos em segurança de forma adequada.

Essa abordagem possibilita a tomada de decisões ágeis e assertivas, que são muito bem-vindas em um contexto em que os cibercriminosos se beneficiam da indecisão dos líderes de negócio.

As dúvidas frequentes na tomada de decisões culminam na incapacidade da organização de proteger seu ecossistema digital, evidenciada principalmente pela falta de clareza.

Nesse tipo de situação, os controles e programas de segurança não são priorizados, compreendidos e explorados. É aí que acontecem os ataques cibernéticos mais devastadores.

Portanto, se você ainda não conta com uma gestão de riscos cibernéticos eficiente, não há tempo a perder. Os seus esforços de cibersegurança precisam ser priorizados agora.

Não basta utilizar um programa de segurança digital baseado em maturidade. Esse tipo de solução já não é suficiente.

É necessária uma abordagem mais estratégica e baseada em riscos que envolva toda uma mudança da sua cultura organizacional.

Vamos tratar deste assunto no próximo tópico.

Como garantir uma gestão eficiente em cibersegurança?

Para garantir uma boa gestão de riscos cibernéticos em sua empresa, é preciso acompanhar as principais tendências de cibersegurança e focar no planejamento e na execução de iniciativas contínuas que visam à proteção contra as investidas do cibercrime.

Nesse sentido, não basta utilizar plataformas unificadas de cibersegurança ou tecnologias mais avançadas de proteção, detecção e respostas a incidentes.

Esses recursos não conseguem compensar, por exemplo, as práticas organizacionais imaturas ou a falta de profissionais especializados.

As tecnologias possuem grande potencial no contexto da gestão de riscos cibernéticos, mas exigem habilidades avançadas para projetá-las e operá-las.

Considerando a necessidade de investimento na capacitação da sua equipe e a tomada dos riscos de cibersegurança como riscos de negócios, vamos abordar, em seguida, as principais tendências no que diz respeito à gestão de riscos cibernéticos.

Extensão dos controles de segurança para além das dependências físicas das empresas

A pandemia da Covid-19 acelerou o processo de transformação digital nas empresas, sobretudo no que diz respeito aos ativos cibernéticos organizacionais.

Agora, a maioria deles está fora dos perímetros de segurança físicos tradicionais, mas a capacidade da empresa de controlar o acesso a esses ativos não acompanhou o ritmo desta mudança.

Assim, é necessária uma nova abordagem combinável, escalável, flexível e resiliente, que seja capaz de estender os controles de segurança para os ativos digitais que estão localizados fora da empresa.

Os fornecedores de tecnologia de segurança já estão preparados para ajudar seus clientes nesta missão, levando os controles de segurança a todos os lugares em que eles são necessários.

Essa abordagem possibilita uma interoperação entre as ferramentas de segurança, como uma malha de identidade distribuída, possibilitando o gerenciamento e a orquestração de políticas centralizadas.

Cria-se, nesse sentido, um tecido para que as ferramentas sejam acopladas e participem de um ambiente comum a partir de um modelo de implantação baseado na nuvem.

É justamente a utilização da nuvem que permite aos provedores de segurança como serviço o oferecimento de soluções mais resilientes e serviços de maior desempenho.

A escalabilidade e a acessibilidade são palavras de ordem no contexto da gestão de riscos cibernéticos quando o objetivo é hospedar serviços de segurança que possam suportar de forma confiável uma malha de cibersegurança.

Quando a tecnologia é oferecida como serviço, o fornecedor é o responsável pela manutenção das rotinas e atualizações.

Isso significa que a sua equipe responsável pela gestão de riscos cibernéticos poderá se concentrar na estratégia, na política e na cultura organizacional voltadas para a segurança.

Essa concentração é especialmente importante num contexto em que, para muitas organizações, o desafio em relação às questões culturais é maior do que o da implementação de um serviço modelo.

Nesse sentido, os gestores de TI podem priorizar as seguintes ações:

• Utilizar controles de segurança cibernética fornecidos na nuvem independente da localização dos ativos;
• Escolher análises de segurança e tecnologia interoperável e extensível;
• Incentivar os engenheiros de segurança de rede a desenvolverem modelos de confiança adaptáveis para segurança e acesso de alto desempenho a aplicativos em nuvem;
• Priorizar fornecedores que permitam que as decisões políticas sejam tomadas fora da ferramenta.

Priorização da segurança

A pandemia e a tendência de permanência do modelo de trabalho remoto exigiram uma mudança nas prioridades de segurança do pensamento tradicional.

Agora, ao invés da segurança que prioriza a identidade, a abordagem da malha de segurança cibernética dá destaque a recursos como a autenticação multifator e o acesso à rede de confiança zero.

As abordagens complementares à segurança com foco na identidade possibilitam a utilização de ferramentas modernas de acesso remoto que facilitam o acesso às aplicações sem prejuízo da segurança.

O princípio dessas ferramentas é a abordagem de todos os aplicativos como se eles estivessem em risco, ou seja, eles devem ser protegidos como se tivessem sido expostos em público na internet.

Assim, os esforços para proteger e manter o perímetro de rede tradicional devem ser transferidos ou replicados para o novo perímetro de identidade com uma abordagem de defesa em profundidade.

Algumas das ações práticas que você pode priorizar no contexto da sua gestão de riscos cibernéticos são:

• Fazer um inventário dos casos de uso de acesso remoto e criar arquiteturas de referência para o planejamento e validação de abordagens seguras para cada um deles;
• Desenvolver uma análise de lacunas entre os recursos de estratégia de acesso existentes da organização e considerar a adoção de ferramentas de segurança adicionais;
• Examinar os processos de segurança atuais, procedimentos e práticas de registro para alterar as práticas de mais visibilidade e controle, tudo por meio de uma abordagem ajustada ao risco;
• Avaliar as competências técnicas do departamento de tecnologia da informação da organização, uma vez que muitas dessas tecnologias exigem habilidades especializadas que um provedor de serviços gerenciados poderia fornecer.

Estabelecimento de Comitês de Administração Cibernéticos

Muitas empresas, sobretudo as grandes corporações, já estão criando comitês internos para cuidarem de sua gestão de riscos cibernéticos.

Esse comitê é supervisionado por um gestor com experiência na área de segurança cibernética e concebido com base na falta de confiança no desempenho das empresas no que diz respeito à segurança.

A confiança reduzida deriva quase sempre de incidentes de segurança recentes que interromperam as operações do negócio ou das mudanças nos requisitos regulatórios.

Há também as desconexões culturais entre segurança e negócios, que são muito difíceis de serem superadas.

Por isso, os conselhos de administração estão formando comitês dedicados à discussão da gestão de riscos cibernéticos em um ambiente confidencial.

Essa iniciativa certamente proporciona uma melhoria da atenção dedicada à segurança cibernética dentro da empresa para além das auditorias pontuais.

Veja algumas das ações a serem colocadas em prática neste contexto:

• Antecipar potenciais necessidades de negócios e mudanças nas expectativas, entendendo as prioridades do conselho, tendências de mercado e como um bom conhecimento do setor pode influenciar os resultados;
• Trabalhar com outras partes interessadas para adicionar coletivamente informações sobre a mudança na governança e supervisão no nível do conselho;
• Falar sobre o risco de segurança cibernética em um contexto de negócios e torná-lo relevante para as partes interessadas, de modo a impulsionar decisões de segurança cibernética com base na priorização e investimentos relevantes para os negócios.

Consolidação de fornecedores de segurança

Quando uma organização utiliza um grande número de produtos de segurança, há um aumento da complexidade e dos custos de integração.

Consequentemente, as operações de segurança também tornam-se mais complexas, resultando na necessidade de aumento do número de funcionários.

Nesse sentido, surge a demanda pela consolidação dos fornecedores com a meta de simplificar as operações e reduzir os custos gerais.

Ou seja, as organizações passam a adotar os contratos com grandes fornecedores de segurança, que oferecem plataformas com produtos gerenciados e integrados.

Essa consolidação de fornecedores pode ajudar com questões como o aumento dos requisitos regulatórios.

Os produtos e fornecedores de segurança tendem a seguir as mudanças na tecnologia de negócios alguns anos depois de sua introdução à medida que a nova prática de tecnologia de negócios se consolida.

Por outro lado, a abordagem de consolidação de fornecedores também traz riscos, como o bloqueio do fornecedor em termos de softwares sobrepostos, as desativações forçadas de produtos legados quando ocorrem aquisições, a falta de integração de produtos e a inteligência de ameaças limitada.

Nesse contexto, algumas ações que podem ser colocadas em prática no âmbito da gestão de riscos cibernéticos são:

• Planejar uma transição progressiva, pois essas estratégias geralmente levam dois anos ou mais para serem executadas com a percepção de seus benefícios;
• Planejar a consolidação do fornecedor avaliando os fatores internos e externos que impulsionam essa necessidade;
• Estabelecer métricas para medir o valor comercial esperado da consolidação do fornecedor, incluindo medidas como operações simplificadas, redução do custo total de segurança ou melhor postura de risco;
• Trabalhar com outras partes interessadas, como equipes de compras e arquitetura corporativa, para formular e planejar um roteiro realista para a transição;
• Fornecer aos colaboradores de segurança treinamentos e suporte na medida da implantação e utilização dos novos produtos que são introduzidos e retirada dos produtos que não são mais necessários.

Computação de aprimoramento de privacidade

A computação de aprimoramento de privacidade está ligada às tecnologias emergentes que protegem os dados possibilitando o processamento, compartilhamento, transferências e análises seguros, mesmo em ambientes  não confiáveis.

São diversas as técnicas que podem ser utilizadas para melhorar a privacidade e elas normalmente são aplicadas em três níveis:

• Nível de dados: inclui transformações para ocultar valores de dados individuais, como a criptografia;
• Nível de software: são sistemas que combinam a transformação de dados com softwares especializados;
• Nível de hardware: ambientes de execução confiáveis ​​e sistemas de hardware seguros, que implementam mecanismos de segurança em hardware.

É preciso ressaltar a expansão da legislação de privacidade e proteção de dados, que impõe diversas restrições ao uso de dados pessoais.

É o caso da Lei Geral de Proteção de Dados (LGPD) brasileira, cujas regras têm sido uma prioridade para as empresas nacionais.

Nesse contexto, várias técnicas de computação que melhoram a privacidade estão se tornando mais viáveis para manter a confidencialidade e proteger a privacidade dos dados.

Por exemplo, os ambientes de nuvem começaram a oferecer ambientes de execução confiáveis e tecnologias como a criptografia homomórfica tornaram-se soluções comerciais viáveis.

No contexto da sua gestão de riscos cibernéticos, algumas ações a serem colocadas em prática são:

• Identificar situações compatíveis com o uso de  computação de aprimoramento de privacidade;
• Avaliar as diferenças nas necessidades de eficácia e implementação de privacidade diferencial, criptografia homomórfica, computação multipartidária segura, ambientes de execução confiáveis ​​e outras abordagens para esses casos de uso;
• Planejar investimentos de longo prazo em técnicas de aprimoramento de privacidade aplicáveis ao seu negócio.

Simulações de violações e ataques

As ferramentas de simulação de violação e ataque estão ganhando força no sentido de fornecer uma postura defensiva contínua em detrimento da abordagem limitada das avaliações anuais, por exemplo.

A gestão de riscos cibernéticos passa pela compreensão de que na atualidade é fundamental que a empresa conheça suas brechas de segurança e esteja preparada para reagir a um ciberataque.

Por isso, a complexidade das modernas ferramentas de segurança está aumentando a cada lançamento de um novo produto.

A meta é utilizar uma forma fácil e repetível de testar a eficácia dos sistemas defensivos contra as estratégias dos cibercriminosos.

As ferramentas de simulação de violações e ataques oferecem testes e validações dos controles de segurança, recorrendo à automatização.

Isso ajuda a identificar e resolver prontamente as lacunas na gestão de riscos cibernéticos do negócio.

Nesse sentido, veja a lista de ações que você pode colocar em prática:

• Usar esse tipo de ferramenta para testar a eficácia dos controles de segurança do seu negócio e ajudar na definição dos investimentos prioritários no futuro;
• Aplicar os testes no sentido de identificar os caminhos prováveis seguidos por invasores na tentativa de acesso a ativos confidenciais;
• Testar novos controles de segurança e recursos tecnológicos que potencialmente podem ser implementados.  É natural uma dificuldade inicial na implementação dessas tendências. Mas você pode implementar parâmetros como os do NIST Cybersecurity framework, que possibilitam uma melhor compreensão da situação atual da empresa em relação à segurança digital e da situação almejada por ela. Leia nosso artigo sobre o assunto.