risco - Future Technologies

29 maio 2019

adm.future

0

Categories: Blog, Dicas, Segurança

Como estabelecer a tolerância ao risco em sua empresa?

Toda organização em operação hoje enfrenta uma série de riscos – de ataques cibernéticos que visam roubar dados a ameaças geopolíticas que poderiam interromper as operações. No entanto, especialistas em segurança dizem que os executivos de muitas organizações não sabem quais riscos específicos representam as maiores ameaças à sobrevivência de seus negócios, o que os feriria e que poderiam causar meros soluços operacionais.

É claro que grandes empresas com altos executivos de risco e um completo departamento de riscos podem identificar, classificar, mitigar e monitorar riscos. Organizações em setores altamente regulamentados também tendem a ter práticas de gerenciamento de risco altamente maduras. A maioria dos outros, no entanto, está muito mais abaixo na escala de maturidade.

“A empresa média lida com risco ad hoc. Feito somente por instinto”, disse Candy Alexander, um veterano executivo de segurança que agora serve como presidente da ISSA International, uma associação internacional sem fins lucrativos para profissionais de segurança da informação.

Os resultados da Associação Nacional de Diretores Corporativos falam sobre esse ponto, indicando um desejo geral de entender melhor o risco. Em seu relatório Perspectiva da Governança de 2019: Projeções sobre Assuntos de Diretores Emergentes, a NACD descobriu que 82% dos entrevistados em sua pesquisa anual de diretores de empresas públicas estavam confiantes na capacidade da administração em lidar com riscos conhecidos, mas 70% acreditavam que precisavam entender melhor os riscos e oportunidades que afetam o desempenho da empresa.

Da mesma forma, especialistas em segurança dizem que muitas organizações precisam gerenciar melhor os riscos. Eles dizem que o processo começa com o conhecimento dos riscos que os ameaçam e quão significativos são esses riscos para a capacidade de fazer negócios.

“O risco é algo que poderia potencialmente causar danos ou um aspecto negativo para o negócio”, diz Alexander. “Então, você deve saber que, se algo acontecer, quanto impacto terá em sua organização. Você precisa saber qual é o seu apetite por risco, ou onde você se posiciona em risco, qual é o seu limite”.

Alexander explica que, quando trabalha com empresas para definir seu apetite por risco, ela começa identificando riscos e classificando-os com base em quanto dano eles causariam se ocorressem. Ela pede que classifiquem o impacto de vários riscos, de catastrófico a crítico, alto, médio e baixo.

Esse conhecimento ajuda a estabelecer o que e quanto uma empresa pode tolerar para cada risco identificável. É uma medida que muitas vezes é chamada de apetite por risco de negócios ou, às vezes, de tolerância a riscos de negócios. (Os dois termos são às vezes usados de forma intercambiável, com alguns líderes de segurança definindo cada um de forma ligeiramente diferente).

Um componente crítico para o alinhamento estratégico

Estabelecer um apetite de risco de negócios é fundamental, pois permite que os CISOs, assim como outros executivos, alinhem seus esforços às necessidades do negócio – permitindo priorizar recursos e concentrar gastos, equipe e atividades do dia a dia nessas áreas em que líderes organizacionais têm menos apetite por risco.

“Se a tolerância ao risco não for definida, é difícil para a gerência determinar como eles devem investir em ferramentas ou recursos para proteger a organização”, disse Tichaona “Tich” Zororo, executivo de consultoria de TI da Enterprise Governance of IT (Pty) Ltd. na África do Sul e diretor do conselho da ISACA, uma associação profissional internacional focada em governança de TI.

“Se [líderes organizacionais] disserem: ‘não podemos tolerar nenhum ataque de segurança cibernética’, se é quase a zero, isso dará ao diretor de segurança da informação a direção em que medida investir em ferramentas de segurança e nas habilidades certas para que, a todo custo, a organização esteja garantida. Mas se a organização diz que a tolerância é pelo menos capaz de tolerar ataques sem quebrar o negócio, isso também tem um impacto sobre como o CISO deve investir e gastar tempo com o que deve ser assegurado”.

Propriedade de tarefa

Um passo importante a ser dado pelas organizações ao estabelecer seu apetite por risco é ser claro sobre quem é o responsável por essa tarefa, segundo especialistas em segurança.

“As empresas devem decidir explicitamente quem toma decisões sobre risco de negócio, mas isso geralmente não é estabelecido nas empresas”, diz Wendy Nather, chefe da equipe de Advisory CISO da Duo Security, uma unidade de negócios da Cisco.

Empresas com uma função de risco dedicada, onde há um diretor de risco, já responderam a essa pergunta – mas essa é a exceção, não a regra.

Essa é uma das razões pelas quais os CISOs em muitas organizações que não são grandes o suficiente, não estão maduros em suas práticas de segurança ou não estão em setores altamente regulamentados, são encarregados de liderar os esforços para estabelecer o apetite de risco da empresa.

Mas Nather diz que estabelecer o apetite da organização pelo risco deve envolver a equipe executiva – e não simplesmente ser descartado no CISO para fazer sozinho. Outros concordam.

“A organização é proprietária do risco, porque o risco é baseado nas decisões que a empresa tomou ao longo do tempo. Assim, o CISO, o COO, o conselho geral e o CIO devem estar todos no comando”, acrescenta Gary Hayslip, executivo veterano de segurança da informação e TI, bem como coautor do Guia de Referência de Mesa do CISO.

Hayslip diz que trabalhou recentemente em uma empresa onde, como CISO, atuou ao lado do CFO, do COO e do conselho geral em um comitê de risco encarregado de tomar decisões sobre identificação e gerenciamento de riscos. É uma abordagem que ele recomenda que outras organizações adotem.

Identificar e classificar o risco

Depois que a propriedade da tarefa é determinada, os especialistas em segurança aconselham os executivos a identificar os tipos de problemas que podem comprometer sua capacidade de fazer negócios.

Esses problemas podem ser colocados em grupos de riscos e depois divididos em cenários mais detalhados. Por exemplo, os executivos podem identificar ameaças cibernéticas como uma categoria de risco e, em seguida, identificar violações de dados e malware como tipos específicos de riscos dentro da categoria. Eles também poderiam, como outro exemplo, identificar problemas geopolíticos como um outro tipo de risco e, em seguida, observar que interrupções no exterior poderiam interromper a cadeia de suprimentos da empresa. Conformidade regulatória poderia ser outro balde, com falha em atender a regulamentações federais específicas e incorrer em multas como resultado de um elemento mais específico dentro dessa categoria de risco.

Os especialistas recomendam o uso de estruturas de avaliação de risco – como as do NIST (the National Institute of Standards and Technology; em português, Instituto Nacional de Padrões e Tecnologia) ou FAIR (the Factor Analysis of Information Risk; em português, Análise Fatorial do Risco de Informações) – ou usando um consultor terceirizado independente para ajudar a identificar os riscos que poderiam prejudicar a capacidade de uma organização de fazer o seu trabalho.

Mantenha o foco no impacto dos negócios

Os CISOs devem trabalhar para garantir que essas avaliações, assim como todo o processo de estabelecimento do apetite por risco da organização, sejam focadas nos negócios.

“Temos que traduzir o que estamos vendo – as ameaças e vulnerabilidades – de uma forma que filtre o ruído e apresente o verdadeiro risco para a organização, para que eles possam estabelecer sua verdadeira tolerância ao risco, e se eles concordariam com o queda potencial se algo acontecer ”, diz Heather Engel, diretora de estratégia da Sera-Brynn, empresa de gerenciamento de risco cibernético.

Considere a abordagem de Alexander aqui. Ela diz que treina os executivos e diretores de uma organização para entender o que eles veem como os componentes mais críticos de seus negócios. Ela pergunta a eles: “se algo acontecesse, quanto impacto isso teria em sua organização”. Esse incidente seria catastrófico e derrubaria o negócio imediatamente? Ou fecharia a empresa dentro de semanas? Ou a empresa poderia se recuperar ou talvez mal seja afetada?

É aqui que Alexander categoriza os riscos identificados de catastróficos para baixo, determinando a categoria com base no grau de gravidade com que a organização seria prejudicada caso um risco específico realmente aconteça.

Cada organização deve chegar a suas próprias conclusões, pois elas terão apetites por risco diferentes, dependendo de sua própria cultura e objetivos, bem como de seus requisitos setoriais e regulatórios.

Além disso, os especialistas dizem que toda organização deve articular uma série de apetites ao risco para refletir seu nível variável de tolerância para diferentes cenários. “Se você puder estabelecer riscos no nível do sistema, poderá dizer que essa tolerância a riscos para esse sistema é maior, porque não é algo de que precisamos como uma função crítica para os negócios”, explica Engel.

Da mesma forma, Hayslip diz que os executivos devem avaliar e articular o impacto de cada risco nos negócios, compreendendo o tipo de dano que cada situação infligiria, usando o tempo esperado para os objetivos de recuperação como forma de julgar o dano potencial.

“Agora seu risco é visível, agora você tem que lidar com isso, o que você está disposto a aceitar, o que você pode atenuar, o que você precisa se livrar, o que você pode consertar”, diz ele.

Amarre a tolerância ao risco à estratégia

Especialistas em segurança concordam que os executivos que trabalham para estabelecer a tolerância de suas organizações para os vários riscos que podem encontrar, precisam considerar seus objetivos estratégicos ao determinar a criticidade do impacto potencial de cada risco sobre os negócios.

Um hospital, por exemplo, pode ver uma violação de dados como um risco significativo para o qual ela tem baixa tolerância, mas deve valorizar mais o acesso clínico aos dados do paciente para garantir que os cuidados de salva-vidas não sejam prejudicados.

Os executivos devem considerar os custos de mitigação ao avaliar riscos e determinar sua tolerância a eles, diz Nather. Eles poderiam determinar que, para alguns riscos, é mais barato lidar com as consequências do problema se realmente acontecer, do que implementar tecnologias ou políticas para diminuir as chances de que o problema ocorra. Não faz sentido gastar US$ 1 milhão para mitigar um problema que custa metade disso para consertar depois do fato, ela acrescenta.

Zororo diz que é por isso que as organizações devem estabelecer sua tolerância ao risco quando criam sua visão estratégica. “A tolerância ao risco deve ser estabelecida ao definir os objetivos estratégicos, que a maioria das organizações define a cada três ou cinco anos”, diz ele.

No entanto, ele e outros aconselham às organizações a revisitar seu apetite por risco com mais frequência, para garantir que elas permaneçam no caminho certo à medida que novos riscos surjam e riscos antigos mudem. Assim como muitas empresas reavaliam os objetivos estratégicos com mais frequência do que no passado para acompanhar as mudanças na dinâmica, os líderes da organização devem confirmar que estão concentrando esforços de mitigação nas áreas onde a tolerância ao risco é menor.

“Um bom CISO manterá essa conversa informando sobre a mitigação de riscos e, em seguida, começará a fazer autoavaliações e a articular a postura de segurança da organização com base nas decisões de tolerância ao risco”, afirma Alexander.

Mantenha-se protegido. Conte com a Future! Somos parceiros dos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Conheça nossas soluções de segurança clicando aqui, ou preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

7 tendências de segurança e gerenciamento de riscos para 2019

O Gartner dentificou sete tendências emergentes de segurança e gerenciamento de riscos que afetarão os líderes de segurança, privacidade e risco no longo prazo.

O Gartner define tendências “de topo” como mudanças estratégicas em curso no ecossistema de segurança que ainda não são amplamente reconhecidas, mas espera-se que tenham um amplo impacto na indústria e um potencial significativo para a disrupção.

“Fatores externos e ameaças específicas de segurança estão convergindo para influenciar o cenário geral de segurança e risco, de modo que os líderes da área devem se preparar adequadamente para melhorar a resiliência e apoiar os objetivos de negócios”, disse Peter Firstbrook, vice-presidente de pesquisa do Gartner.

As sete principais tendências de segurança e gerenciamento de risco para 2019 e para além são:

Tendência 1: apetite ao risco e as áreas de negócios

À medida que as estratégias de TI se alinham mais estreitamente com as metas de negócios, a capacidade dos líderes de gerenciamento de riscos e segurança (SRM) de apresentar com eficácia os assuntos de segurança aos principais tomadores de decisões de negócios ganha importância.

“Para evitar focalizar exclusivamente em questões relacionadas à tomada de decisões de TI, crie declarações de apetite de risco simples, práticas e pragmáticas que estejam ligadas à metas de negócios e relevantes para as decisões no nível da diretoria”, disse o Sr. Firstbrook. “Isso não deixa espaço para os líderes empresariais se confundirem sobre o motivo pelo qual os líderes de segurança estavam presentes em reuniões estratégicas”.

Tendência 2: centro de operações de segurança são implementados com foco na detecção e reposta à ameaça

A mudança nos investimentos em segurança, desde a prevenção de ameaças até a detecção de ameaças, exige um investimento nos Centros de Operações de Segurança (SOCs) à medida que a complexidade e a frequência dos alertas de segurança aumentam.

De acordo com o Gartner, em 2022, 50% de todos os SOCs se transformarão em SOCs modernos, com capacidade integrada de resposta a incidentes, inteligência de ameaças e caça à ameaças, partindo de menos de 10% em 2015. “A necessidade de líderes de SRM construírem ou terceirizarem um SOC, que integra a inteligência contra ameaças, consolida alertas de segurança e automatiza a resposta, não pode ser exagerada”, disse o Firstbrook.

Tendência 3: frameworks de governança de segurança de dados priorizarão investimentos em segurança de dados

A segurança de dados é uma questão complexa que não pode ser resolvida sem um forte entendimento dos dados em si, o contexto no qual os dados são criados e usados e como estão sujeitos à regulamentação. Em vez de adquirir produtos de proteção de dados e tentar adaptá-los para atender às necessidades de negócios, as organizações líderes estão começando a abordar a segurança de dados por meio de um framework de governança de segurança de dados (DSGF).

“O DSGF fornece um esquema centrado em dados que identifica e classifica ativos de dados e define políticas de segurança de dados. Isso, então, é usado para selecionar tecnologias para minimizar o risco”, disse o Sr. Firstbrook. “A chave na abordagem da segurança de dados é começar com o risco de negócio que ele aborda, em vez de adquirir a tecnologia primeiro, como muitas empresas fazem.”

Tendência 4: autenticação sem senha está alcançando a tração do mercado

A autenticação sem senha, como o Touch ID em smartphones, está começando a conquistar uma verdadeira tração no mercado. A tecnologia está sendo cada vez mais implementada em aplicativos corporativos para consumidores e funcionários, já que há ampla oferta e demanda por ela. “Em um esforço para combater hackers que visam senhas para acessar aplicativos baseados em nuvem, métodos sem senha que associam usuários a seus dispositivos oferecem maior segurança e usabilidade, o que é um raro bom para ambas as partes na segurança”, disse Firstbrook.

Tendência 5: fornecedores de produtos de segurança estão cada vez mais oferecendo serviços Premium de qualificação e treinamento

O número de funções de segurança cibernética não preenchidas deverá crescer de 1 milhão em 2018 para 1,5 milhão até o final de 2020, de acordo com a Gartner. Embora os avanços na inteligência artificial e na automação certamente reduzam a necessidade de os humanos analisarem alertas de segurança padrão, os alertas sensíveis e complexos exigem o olho humano.

“Estamos começando a ver fornecedores oferecendo soluções que são uma fusão de produtos e serviços operacionais para acelerar a adoção de produtos. Os serviços variam desde a gestão integral até o suporte parcial, com o objetivo de melhorar os níveis de habilidade dos administradores e reduzir a carga de trabalho diária”, disse o Sr. Firstbrook.

Tendência 6: investimentos em competências de segurança em nuvem como plataforma de computação convencional

A mudança para a nuvem significa esticar as equipes de segurança, pois o talento pode estar indisponível e as organizações simplesmente não estão preparadas para isso. A Gartner estima que a maioria das falhas de segurança na nuvem será culpa dos clientes até 2023. “A nuvem pública é uma opção segura e viável para muitas organizações, mas mantê-la segura é uma responsabilidade compartilhada”, disse Firstbrook. “As organizações devem investir em habilidades de segurança e ferramentas de governança que construam a base de conhecimento necessária para acompanhar o ritmo acelerado da inovação e do desenvolvimento na nuvem”.

Tendência 7: presença crescente da CARTA da Gartner em mercados de segurança tradicionais

A avaliação de risco e confiança adaptativa contínua (CARTA) da Gartner é uma estratégia para lidar com a ambiguidade das avaliações de confiança de negócios digitais. “Embora seja uma jornada plurianual, a ideia por trás da CARTA é uma abordagem estratégica à segurança que equilibra a fricção de segurança com o risco de transação.

Um componente-chave para a CARTA é avaliar continuamente o risco e a confiança mesmo após o acesso ser estendido”, disse o Sr. Firstbrook. “E-mail e segurança de rede são dois exemplos de domínios de segurança que estão se movendo em direção a uma abordagem CARTA, à medida que as soluções se concentram cada vez mais na detecção de anomalias, mesmo depois que usuários e dispositivos são autenticados.”

Quer manter sua empresa protegida em 2019? Conte com a Future! Somos parceiros de alto nível dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo, com uma equipe altamente qualificada e certificada! Preencha o formulário abaixo e entre em contato conosco.

Fonte: Computer World.

2 dos 5 maiores riscos globais estão ligados à cibersegurança, alerta WEF

As tensões geopolíticas e geoeconômicas aumentaram entre as principais potências do mundo e agora representam os riscos globais mais urgentes, de acordo com o Global Risks Report 2019 do World Economic Forum, recém publicado. Nove em cada 10 dos 1000 tomadores de decisão do setor público, do setor privado, da academia e da sociedade civil entrevistados para o estudo esperam que o risco de confrontos econômicos e políticos entre as grandes potências aumentem este ano. Um cenário que reduz ainda mais o potencial de cooperação internacional, colocando as questões climáticas e tecnológicas no topo da lista de preocupações. Entre os 5 maiores riscos globais apontados pelo relatório estão os ataques cibernéticos e o roubo de dados.

Na perspectiva de 10 anos da pesquisa, os riscos cibernéticos sustentaram significativamente em relação ao registrado em 2018. A grande maioria dos entrevistados espera pelo aumento de ataques cibernéticos, levando ao roubo de dinheiro e de dados (82%) e à interrupção das operações (80%).

Essa visão entre os vários stakeholders também é compartilhada quando se olha apenas a comunidade empresarial. Relatórios anteriores já vinham apontando que as empresas consideram os ataques cibernéticos como o principal risco de se fazer negócios na América do Norte e na Europa, bem como no Leste da Ásia e no Pacífico. Isso sugere fortemente que as empresas precisam fortalecer sua segurança e resiliência cibernética para manter a confiança em uma economia digital altamente conectada.

Como as empresas podem responder a essa crescente ameaça de três formas, segundo o WEF:

Construindo uma cultura de conscientização: os riscos cibernéticos não são apenas uma preocupação de TI, nem estão limitados a determinados setores de uma organização. Todos os funcionários, de membros do conselho de administração a estagiários, desempenham um papel importante em manter uma organização cibernética e devem entender suas responsabilidades de manter os dados em segurança
Adotando uma mentalidade de resiliência cibernética: com riscos reais de reputação, perdas econômicas e consequências legais, é crucial que as empresas criem e implementem um plano de resposta a incidentes no caso de ocorrer um incidente cibernético. Responder de forma rápida e eficaz não só atenua esses riscos, mas também garante uma recuperação bem-sucedida a longo prazo.
Praticando, praticando, praticando: Embora a prática nem sempre seja perfeita, ela pode ser essencial ao responder a um incidente cibernético. Apenas ter um plano de resposta a incidentes não é suficiente; É imperativo que o plano seja praticado e atualizado regularmente, ajustando-se conforme necessário para diferentes cenários e variações de ameaças cibernéticas.

Juntos, a fraude maciça de dados e o roubo de dados foram classificados como o quarto maior risco global por probabilidade em um horizonte de 10 anos. Cerca de dois terços dos entrevistados esperam que os riscos associados a notícias falsas e roubo de identidade aumentem em 2019, enquanto três quintos disse o mesmo sobre a perda de privacidade para empresas e governos.

Houve novas violações maciças de dados em 2018, novas fraquezas de hardware foram reveladas e pesquisas apontaram para os usos potenciais da inteligência artificial para projetar ataques cibernéticos mais potentes. O ano passado também forneceu mais evidências de que os ataques cibernéticos representam riscos para a infraestrutura crítica, levando os países a fortalecer a triagem de parcerias transnacionais em âmbito nacional motivos de segurança.

Além disso, efeitos da crescente intermediação digital da vida das pessoas é discutido no Capítulo 3. E as consequências potenciais da “computação afetiva” – referindo-se à IA que pode reconhecer, responder e manipular as emoções humanas, são debatidas no Capítulo 6.

Entre os impactos mais difundidos e disruptivos da IA nos últimos anos tem sido o seu papel no surgimento de “câmaras de eco da mídia e das notícias falsas”, um risco que 69% dos entrevistados da GRPS esperam aumentar em 2019.

A interação entre as emoções e a tecnologia se tornará uma força cada vez mais disruptiva, bem como a evolução da biotecnologia seguirá borrando as linhas entre humanidade e tecnologia. No final do ano passado, por exemplo, foi alegado que ferramentas de edição de genes haviam sido usadas para criar bebês geneticamente modificados. “Se os países planejam seu próprio curso em áreas como essa, ou se alinham em torno de abordagens compartilhadas, isso pode ter implicações importantes para o futuro da humanidade”, alerta o WEF.

Quer identificar e se prevenir contra riscos cibernéticos? A Future é parceira dos maiores fabricantes de segurança, disponibilidade e performance do mundo! Clique aqui e entre em contato conosco.