A eficácia de uma cibersegurança requer uma estratégia que começa com a criação de uma avaliação de risco.
Recentemente, o Parlamento Holandês promoveu uma discussão interessante sobre segurança por causa de um concurso de cibersegurança divulgado por uma associação composta por 380 municípios. A proposta era adquirir produtos de segurança como firewalls, sistemas endpoints e serviços CASB (Cloud Access Security Broker), tudo isso de fornecedores diferentes de segurança.
Alguns especialistas que participaram dessa discussão disseram que essa estratégia de aquisição seria ineficiente para a proteção da informação. E eles estão corretos: o combate a ameaças cibernéticas não é eficaz apenas com a compra de produtos pontuais em silos que fornecem soluções específicas para problemas isolados.
A eficácia de uma cibersegurança requer uma estratégia holística que começa com a criação de uma avaliação de risco, cuja primeira tarefa é identificar os pontos mais sensíveis do negócio – os principais ativos e dados que devem ser melhor protegidos. Pode ser a propriedade intelectual dos clientes, os detalhes do cartão de crédito, ou ainda informações pessoalmente identificáveis, como dados médicos ou industriais sensíveis.
O próximo passo é avaliar os riscos de ataques cibernéticos que ameaçam esses ativos importantes. Uma abordagem pragmática para criar uma avaliação de risco é reunir de 10 a 15 funcionários de departamentos diferentes de uma organização em uma sala e discutir os riscos de cibersegurança nos negócios e fazê-los considerar a probabilidade desses riscos se materializarem.
Vejo exemplos em que diretores de segurança da informação (CISOs) elaboram um plano útil de avaliação de riscos por meio de uma série de “brainstorms”, os quais os executivos e os funcionários atribuem valor a cada risco. A probabilidade de um risco é categorizada de um a cinco, sendo um o mais baixo risco e cinco o mais alto. Em seguida, é avaliado o impacto do risco caso ele ocorra, novamente de um a cinco. O valor do risco é calculado simplesmente multiplicando os dois números juntos.
Ao longo de vários workshops, os executivos e seus funcionários chegam a um total de 225 riscos de segurança cibernética. Alguns deles têm um valor de risco de mais de 20 – eles provavelmente aconteceriam e poderiam afetar gravemente a empresa. Havia também riscos menos urgentes. As ameaças que eles identificam incluem coisas como um funcionário saindo da empresa e levando seu nome de usuário e senha para que possa acessar a rede à vontade, ou a possibilidade de queda de energia em um data center que restringiria a disponibilidade de dados. Outro risco também detectado foi o de configuração incorreta do sistema, o que levaria os dados a ficarem desprotegidos.
Qualquer que seja o método utilizado na identificação dos valores de risco, cabe ao conselho de administração das empresas a decidir quais recursos eles irão destinar à proteção contra essas ameaças. Isso significa comumente tomar medidas contra as 15 principais ameaças – com menos atenção às ameaças menos prejudiciais.
A “beleza” da criação de valores de risco é que permite que as diretorias das empresas, e não os CISOs, tomem as decisões, o que é, afinal, uma das principais responsabilidades dos conselhos.
Considera-se que a chance de um funcionário sair da empresa com dados de login é bastante alta, por isso deve-se ter um processo para garantir que qualquer membro da equipe que sair da companhia tenha de visitar o departamento de TI para ter seu nome de usuário e senha cancelados – e determinar que só sejam liberados pelo RH os que apresentarem um documento do TI mostrando que eles fizeram isso. Apesar da burocracia, esta é uma medida simples e que ajuda a reduzir a ameaça de hackers. Este é o tipo de trade-off que o conselho de administração de cada empresa deveria fazer.
Outra solução de redução de risco pode ser a imposição da autenticação de dois fatores para dados confidenciais, porém isso tem um custo e pode atrasar os processos. Aqui, de novo, cabe ao conselho de administração avaliar os riscos e verificar se as soluções são justificadas.
Infelizmente, no mundo frenético em que vivemos, ainda há poucas organizações que realizam uma avaliação de risco decente para sua cibersegurança. Entretanto, para ser justo, a ideia está gradualmente “encorpando” – o que é animador.
A maneira como a cibersegurança evoluiu foi dando passos graduais no sentido de resolver problemas específicos. Nos últimos 10 anos, isso cresceu tanto que cada organização tem uma média de 34 soluções de segurança, cada uma com seu próprio silo. Como resultado, os CISOs procuram substituições individuais para os softwares de firewall ou antivírus, mas isso apenas ameaça complicar ainda mais sua estrutura de cibersegurança.
Somente uma avaliação de risco bem elaborada permitirá a todos os envolvidos – desde a equipe de CISO e de TI até a diretoria – ter uma visão clara do que está em jogo quando se trata de proteger sua organização de um mundo de ameaças em evolução. Espera-se que as organizações entendam que o maior risco que enfrentam é justamente não fazer uma avaliação de risco!
*Por Marcos Oliveira, country manager da Palo Alto Networks no Brasil
