empresa

Toda organização em operação hoje enfrenta uma série de riscos – de ataques cibernéticos que visam roubar dados a ameaças geopolíticas que poderiam interromper as operações. No entanto, especialistas em segurança dizem que os executivos de muitas organizações não sabem quais riscos específicos representam as maiores ameaças à sobrevivência de seus negócios, o que os feriria e que poderiam causar meros soluços operacionais.

É claro que grandes empresas com altos executivos de risco e um completo departamento de riscos podem identificar, classificar, mitigar e monitorar riscos. Organizações em setores altamente regulamentados também tendem a ter práticas de gerenciamento de risco altamente maduras. A maioria dos outros, no entanto, está muito mais abaixo na escala de maturidade.

“A empresa média lida com risco ad hoc. Feito somente por instinto”, disse Candy Alexander, um veterano executivo de segurança que agora serve como presidente da ISSA International, uma associação internacional sem fins lucrativos para profissionais de segurança da informação.

Os resultados da Associação Nacional de Diretores Corporativos falam sobre esse ponto, indicando um desejo geral de entender melhor o risco. Em seu relatório Perspectiva da Governança de 2019: Projeções sobre Assuntos de Diretores Emergentes, a NACD descobriu que 82% dos entrevistados em sua pesquisa anual de diretores de empresas públicas estavam confiantes na capacidade da administração em lidar com riscos conhecidos, mas 70% acreditavam que precisavam entender melhor os riscos e oportunidades que afetam o desempenho da empresa.

Da mesma forma, especialistas em segurança dizem que muitas organizações precisam gerenciar melhor os riscos. Eles dizem que o processo começa com o conhecimento dos riscos que os ameaçam e quão significativos são esses riscos para a capacidade de fazer negócios.

“O risco é algo que poderia potencialmente causar danos ou um aspecto negativo para o negócio”, diz Alexander. “Então, você deve saber que, se algo acontecer, quanto impacto terá em sua organização. Você precisa saber qual é o seu apetite por risco, ou onde você se posiciona em risco, qual é o seu limite”.

Alexander explica que, quando trabalha com empresas para definir seu apetite por risco, ela começa identificando riscos e classificando-os com base em quanto dano eles causariam se ocorressem. Ela pede que classifiquem o impacto de vários riscos, de catastrófico a crítico, alto, médio e baixo.

Esse conhecimento ajuda a estabelecer o que e quanto uma empresa pode tolerar para cada risco identificável. É uma medida que muitas vezes é chamada de apetite por risco de negócios ou, às vezes, de tolerância a riscos de negócios. (Os dois termos são às vezes usados de forma intercambiável, com alguns líderes de segurança definindo cada um de forma ligeiramente diferente).

Um componente crítico para o alinhamento estratégico

Estabelecer um apetite de risco de negócios é fundamental, pois permite que os CISOs, assim como outros executivos, alinhem seus esforços às necessidades do negócio – permitindo priorizar recursos e concentrar gastos, equipe e atividades do dia a dia nessas áreas em que líderes organizacionais têm menos apetite por risco.

“Se a tolerância ao risco não for definida, é difícil para a gerência determinar como eles devem investir em ferramentas ou recursos para proteger a organização”, disse Tichaona “Tich” Zororo, executivo de consultoria de TI da Enterprise Governance of IT (Pty) Ltd. na África do Sul e diretor do conselho da ISACA, uma associação profissional internacional focada em governança de TI.

“Se [líderes organizacionais] disserem: ‘não podemos tolerar nenhum ataque de segurança cibernética’, se é quase a zero, isso dará ao diretor de segurança da informação a direção em que medida investir em ferramentas de segurança e nas habilidades certas para que, a todo custo, a organização esteja garantida. Mas se a organização diz que a tolerância é pelo menos capaz de tolerar ataques sem quebrar o negócio, isso também tem um impacto sobre como o CISO deve investir e gastar tempo com o que deve ser assegurado”.

Propriedade de tarefa

Um passo importante a ser dado pelas organizações ao estabelecer seu apetite por risco é ser claro sobre quem é o responsável por essa tarefa, segundo especialistas em segurança.

“As empresas devem decidir explicitamente quem toma decisões sobre risco de negócio, mas isso geralmente não é estabelecido nas empresas”, diz Wendy Nather, chefe da equipe de Advisory CISO da Duo Security, uma unidade de negócios da Cisco.

Empresas com uma função de risco dedicada, onde há um diretor de risco, já responderam a essa pergunta – mas essa é a exceção, não a regra.

Essa é uma das razões pelas quais os CISOs em muitas organizações que não são grandes o suficiente, não estão maduros em suas práticas de segurança ou não estão em setores altamente regulamentados, são encarregados de liderar os esforços para estabelecer o apetite de risco da empresa.

Mas Nather diz que estabelecer o apetite da organização pelo risco deve envolver a equipe executiva – e não simplesmente ser descartado no CISO para fazer sozinho. Outros concordam.

“A organização é proprietária do risco, porque o risco é baseado nas decisões que a empresa tomou ao longo do tempo. Assim, o CISO, o COO, o conselho geral e o CIO devem estar todos no comando”, acrescenta Gary Hayslip, executivo veterano de segurança da informação e TI, bem como coautor do Guia de Referência de Mesa do CISO.

Hayslip diz que trabalhou recentemente em uma empresa onde, como CISO, atuou ao lado do CFO, do COO e do conselho geral em um comitê de risco encarregado de tomar decisões sobre identificação e gerenciamento de riscos. É uma abordagem que ele recomenda que outras organizações adotem.

Identificar e classificar o risco

Depois que a propriedade da tarefa é determinada, os especialistas em segurança aconselham os executivos a identificar os tipos de problemas que podem comprometer sua capacidade de fazer negócios.

Esses problemas podem ser colocados em grupos de riscos e depois divididos em cenários mais detalhados. Por exemplo, os executivos podem identificar ameaças cibernéticas como uma categoria de risco e, em seguida, identificar violações de dados e malware como tipos específicos de riscos dentro da categoria. Eles também poderiam, como outro exemplo, identificar problemas geopolíticos como um outro tipo de risco e, em seguida, observar que interrupções no exterior poderiam interromper a cadeia de suprimentos da empresa. Conformidade regulatória poderia ser outro balde, com falha em atender a regulamentações federais específicas e incorrer em multas como resultado de um elemento mais específico dentro dessa categoria de risco.

Os especialistas recomendam o uso de estruturas de avaliação de risco – como as do NIST (the National Institute of Standards and Technology; em português, Instituto Nacional de Padrões e Tecnologia) ou FAIR (the Factor Analysis of Information Risk; em português, Análise Fatorial do Risco de Informações) – ou usando um consultor terceirizado independente para ajudar a identificar os riscos que poderiam prejudicar a capacidade de uma organização de fazer o seu trabalho.

Mantenha o foco no impacto dos negócios

Os CISOs devem trabalhar para garantir que essas avaliações, assim como todo o processo de estabelecimento do apetite por risco da organização, sejam focadas nos negócios.

“Temos que traduzir o que estamos vendo – as ameaças e vulnerabilidades – de uma forma que filtre o ruído e apresente o verdadeiro risco para a organização, para que eles possam estabelecer sua verdadeira tolerância ao risco, e se eles concordariam com o queda potencial se algo acontecer ”, diz Heather Engel, diretora de estratégia da Sera-Brynn, empresa de gerenciamento de risco cibernético.

Considere a abordagem de Alexander aqui. Ela diz que treina os executivos e diretores de uma organização para entender o que eles veem como os componentes mais críticos de seus negócios. Ela pergunta a eles: “se algo acontecesse, quanto impacto isso teria em sua organização”. Esse incidente seria catastrófico e derrubaria o negócio imediatamente? Ou fecharia a empresa dentro de semanas? Ou a empresa poderia se recuperar ou talvez mal seja afetada?

É aqui que Alexander categoriza os riscos identificados de catastróficos para baixo, determinando a categoria com base no grau de gravidade com que a organização seria prejudicada caso um risco específico realmente aconteça.

Cada organização deve chegar a suas próprias conclusões, pois elas terão apetites por risco diferentes, dependendo de sua própria cultura e objetivos, bem como de seus requisitos setoriais e regulatórios.

Além disso, os especialistas dizem que toda organização deve articular uma série de apetites ao risco para refletir seu nível variável de tolerância para diferentes cenários. “Se você puder estabelecer riscos no nível do sistema, poderá dizer que essa tolerância a riscos para esse sistema é maior, porque não é algo de que precisamos como uma função crítica para os negócios”, explica Engel.

Da mesma forma, Hayslip diz que os executivos devem avaliar e articular o impacto de cada risco nos negócios, compreendendo o tipo de dano que cada situação infligiria, usando o tempo esperado para os objetivos de recuperação como forma de julgar o dano potencial.

“Agora seu risco é visível, agora você tem que lidar com isso, o que você está disposto a aceitar, o que você pode atenuar, o que você precisa se livrar, o que você pode consertar”, diz ele.

Amarre a tolerância ao risco à estratégia

Especialistas em segurança concordam que os executivos que trabalham para estabelecer a tolerância de suas organizações para os vários riscos que podem encontrar, precisam considerar seus objetivos estratégicos ao determinar a criticidade do impacto potencial de cada risco sobre os negócios.

Um hospital, por exemplo, pode ver uma violação de dados como um risco significativo para o qual ela tem baixa tolerância, mas deve valorizar mais o acesso clínico aos dados do paciente para garantir que os cuidados de salva-vidas não sejam prejudicados.

Os executivos devem considerar os custos de mitigação ao avaliar riscos e determinar sua tolerância a eles, diz Nather. Eles poderiam determinar que, para alguns riscos, é mais barato lidar com as consequências do problema se realmente acontecer, do que implementar tecnologias ou políticas para diminuir as chances de que o problema ocorra. Não faz sentido gastar US$ 1 milhão para mitigar um problema que custa metade disso para consertar depois do fato, ela acrescenta.

Zororo diz que é por isso que as organizações devem estabelecer sua tolerância ao risco quando criam sua visão estratégica. “A tolerância ao risco deve ser estabelecida ao definir os objetivos estratégicos, que a maioria das organizações define a cada três ou cinco anos”, diz ele.

No entanto, ele e outros aconselham às organizações a revisitar seu apetite por risco com mais frequência, para garantir que elas permaneçam no caminho certo à medida que novos riscos surjam e riscos antigos mudem. Assim como muitas empresas reavaliam os objetivos estratégicos com mais frequência do que no passado para acompanhar as mudanças na dinâmica, os líderes da organização devem confirmar que estão concentrando esforços de mitigação nas áreas onde a tolerância ao risco é menor.

“Um bom CISO manterá essa conversa informando sobre a mitigação de riscos e, em seguida, começará a fazer autoavaliações e a articular a postura de segurança da organização com base nas decisões de tolerância ao risco”, afirma Alexander.

Mantenha-se protegido. Conte com a Future! Somos parceiros dos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Conheça nossas soluções de segurança clicando aqui, ou preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

O ano de 2018 presenciou uma mudança constante na segurança cibernética e na privacidade: do back office ao front office, da seção de tecnologia e do departamento de TI à sala de reuniões.

Uma pesquisa da PwC mostrou que líderes empresariais em todo o mundo consideraram as ameaças cibernéticas como uma das suas principais preocupações. O Relatório de Riscos Globais do Fórum Econômico

Mundial para 2018 também relatou que ataques cibernéticos e violações de dados em grande escala seriam cada vez mais prováveis em meio à crescente dependência cibernética.

Olhando para trás, é incrível como as preocupações cibernéticas predominantes se tornaram realidade nos meses seguintes. Também houve um reposicionamento significativo: enquanto as ameaças cibernéticas continuam a ser uma grande preocupação comercial, os desenvolvimentos ocorridos em 2018 trouxeram à tona preocupações para grupos mais amplos de interessados em toda a sociedade. Uma mudança ocorreu nas atitudes dos consumidores digitais – com muito mais atenção sobre como os dados são acessados, protegidos e usados, bem como os impactos desse tratamento de dados.

Isso representa uma oportunidade para as empresas se estabelecerem como líderes digitais para ajudar a enfrentar os desafios. Para fazer isso, eles precisam mudar de um foco de proteção na segurança da informação para um foco mais proativo na criação de confiança digital.

Insights de confiança digital

A pesquisa Digital Trust Insights, lançada recentemente, traz opiniões sobre esse tópico de 3 mil líderes empresariais em 81 países e em todos os principais setores. O estudo mostra que, embora a maioria das empresas atualmente não esteja fazendo o suficiente para construir a confiança digital, existem claras oportunidades de fazê-lo.

Em um nível básico, essas oportunidades se resumem a melhorias em três áreas principais que farão ou quebrarão a confiança digital em qualquer organização: pessoas, processos e tecnologia. A confiança em todos os três é fundamental para construir um mundo digital seguro.

Isso levanta três questões importantes que os líderes precisam perguntar a si mesmos e a suas organizações para ajudar a determinar se eles estão posicionados para se tornarem líderes no futuro digital.

1. Você permite que as pessoas em sua organização ajudem a construir a confiança digital?

Organizações em todo o mundo estão justamente procurando melhorar seu desempenho através da transformação digital. O principal fator que decide o sucesso desses projetos são as pessoas, inclusive quando se trata de gerenciar o risco cibernético.

Mais de 90% dos entrevistados em empresas que estão passando por transformação digital dizem que incluem pessoal de segurança e privacidade como interessados nos projetos, mas apenas 53% dizem que praticam gerenciamento proativo de riscos “totalmente desde o início” de suas transformações digitais.

As organizações fariam bem em garantir que tivessem os líderes certos no lugar e intensificassem seus esforços para aumentar a conscientização e a responsabilidade dos funcionários em relação à segurança cibernética e à privacidade. Atualmente, menos da metade dos entrevistados está muito satisfeita com a empresa ter identificado adequadamente os executivos responsáveis pela segurança cibernética (39%) e privacidade (40%) – e apenas 34% dos entrevistados disseram que sua empresa possui um programa de treinamento de conscientização de segurança.

Organizações inteligentes estão oferecendo treinamento de habilidades digitais para preparar seu pessoal para o futuro. Eles também estão aumentando a conscientização em sua força de trabalho sobre segurança cibernética e privacidade usando mensagens diretas, o que é memorável o suficiente para influenciar o comportamento e evita invocar a chamada fadiga da segurança – o cansaço ou relutância em lidar com a segurança do computador.

2. Você está engajando processos de negócios para construir confiança digital?

As questões de segurança cibernética e privacidade são cada vez mais essenciais para qualquer organização e, ainda, poucas tomaram as medidas necessárias para garantir que seus processos de negócios ajudem a construir a confiança digital. Apenas uma pequena minoria de empresas (23%) diz que planeja novos investimentos este ano para alinhar as precauções de segurança aos objetivos de negócios.

A maioria dos especialistas em riscos cibernéticos e privacidade disse que a empresa forneceu à diretoria as estratégias necessárias, mas admitiu dúvidas sobre relatórios internos sobre métricas de segurança cibernética e privacidade. Menos de 30% dos entrevistados disseram que estão muito confortáveis com o fato de o conselho estar recebendo relatórios adequados sobre métricas para gerenciamento de riscos cibernéticos e de privacidade.

3. Seus controles estão acompanhando a tecnologia emergente?

As empresas estão se reinventando por meio de transformações digitais e da aplicação de tecnologia emergente. Mas eles estão se abrindo para novos riscos, mesmo quando buscam novas oportunidades?

De acordo com o estudo, a maioria dos líderes de negócios afirma que as tecnologias emergentes são críticas para os negócios, mas poucas estão muito confiantes de que possuem controles suficientes de “confiança digital” para sua adoção.

Por exemplo, 81% dos executivos consideram a internet das coisas (IoT) fundamental para seus negócios, mas apenas 39% estão muito confiantes de que possuem todos os controles certos para adotá-la com segurança. O mesmo vale para a inteligência artificial, com 70% dos entrevistados dizendo que é fundamental para pelo menos alguns dos seus negócios, mas apenas 31% estão muito confortáveis em construir controles de confiança digital suficientes para sua adoção.

Quer melhorar a segurança da informação na sua empresa? A Future é parceira dos maiores fabricantes de soluções de segurança do mundo! Clique aqui e entre em contato conosco.

Fonte: IT Forum 365.