Avaliações de risco cibernético são usadas para identificar, estimar e priorizar risco para as operações, ativos e indivíduos
Com os ambientes operacionais e os cenários de rede se transformando com frequência e as organizações migrando da nuvem para vários dispositivos e ambientes híbridos, a exposição ao risco aumenta constantemente. Por exemplo, sempre que um novo servidor ou novo dispositivo é adicionado à rede, um novo risco potencial também é adicionado. Com a exposição a ameaças sendo tão dinâmica, as organizações devem sempre medir seus riscos.
As avaliações de risco cibernético são usadas para identificar, estimar e priorizar o risco para as operações, ativos e indivíduos de qualquer organização. A justificativa para fazer avaliações de risco cibernético é que elas podem ajudar uma organização a:
É assim que o NIST (National Institute of Standards and Technology) recomenda que as avaliações de risco cibernético sejam conduzidas:
Depois repita. Trata-se de um bom guia para manter em mente, mas podemos incluir algumas dicas para adicionar contexto ao gerenciamento de riscos cibernéticos.
Primeiramente, o que é risco cibernético? O risco cibernético é definido como o “risco de perda financeira, interrupção ou dano à reputação de uma organização devido a algum tipo de falha em seus sistemas de tecnologia da informação”. Para determinar o que é risco, uma equação simples é usada por profissionais de tecnologia: Ameaça x Vulnerabilidade x Consequência = Risco Cibernético.
Esta é uma fórmula padrão para determinar o risco, embora alguns especialistas substituam “consequência” pela palavra “impacto”. Talvez, a melhor palavra para usar em vez de “consequência” ou “impacto” nesta equação seja “dano”. Portanto, ao descobrir o risco cibernético, a equipe sempre precisa perguntar: “Se o sistema/dados for violado ou ficar indisponível, quanto dano haverá para nossa reputação ou operações?”
Há oito perguntas que, uma vez respondidas, fornecerão às organizações a orientação necessária para concluir com êxito uma avaliação completa do risco cibernético:
Ao mesmo tempo, existem várias armadilhas comuns que podem dificultar ou prejudicar os esforços de uma organização para realizar uma avaliação precisa dos riscos cibernéticos. Elas incluem esquecer de abordar o risco de terceiros e ter uma visão de túnel em relação ao escopo, concentrando-se em uma área ao invés de olhar para o quadro geral. Outros erros possíveis são:
Em muitas organizações, assume-se que a responsabilidade pelo gerenciamento de riscos cibernéticos pertence apenas às equipes de TI e segurança, mas isso é incorreto. O risco cibernético deve ser responsabilidade de todos os funcionários. O risco deve ser gerenciado – com avaliações de risco e cumprimento aos requisitos de conformidade – no âmbito geral da organização, incluindo risco físico e risco operacional. O gerenciamento de riscos cibernéticos é um esporte de equipe.
Por isso, é fundamental determinar quem conduz uma avaliação de risco cibernético. Muitas organizações aproveitam sua equipe interna de TI, pois a avaliação exige uma equipe de TI com uma compreensão profunda de como as infraestruturas digitais e de rede funcionam. Algumas empresas podem querer contratar especialistas de avaliação de risco terceirizados para ajudá-los. O importante é envolver executivos que conheçam os vários fluxos de informações envolvidos no negócio, pois a visibilidade de toda a organização é fundamental para uma avaliação completa do risco cibernético.
O resumo da situação é: o gerenciamento de riscos não pode ser uma atividade única, pois o cenário de ameaças está evoluindo de forma regular e rápida. Muitas organizações cometem esse erro: elas fazem uma avaliação de risco e voltam às operações do dia a dia sem pensar novamente nisso. Mas todas as operações do dia a dia envolvem riscos. O gerenciamento de riscos cibernéticos deve ser um processo contínuo.
* Renee Tarun é vice-CISO e vice-presidente de segurança da informação da Fortinet
