Informações de gestão de riscos

  • Artigo

Operar uma empresa é um risco. A função de uma equipa de segurança é informar e aconselhar os decisores sobre a forma como os riscos de segurança se enquadram nos seus quadros. O objetivo da segurança é saber mais sobre a sua empresa e, em seguida, utilizar os seus conhecimentos de segurança para identificar riscos para objetivos e ativos empresariais. Em seguida, a segurança aconselha os seus decisores sobre cada risco e, em seguida, recomenda quais são aceitáveis. Estas informações são fornecidas com a compreensão de que a responsabilidade por estas decisões reside no seu ativo ou proprietário do processo.

Nota

A regra geral para a responsabilidade pelo risco é:

A pessoa que possui e aceita o risco é a pessoa que explica ao mundo o que correu mal (muitas vezes em frente às câmaras de TV).

Quando maduro, o objetivo da segurança é expor e mitigar riscos e, em seguida, capacitar a empresa a mudar com um risco mínimo. Esse nível de maturidade requer informações de risco e integração de segurança profunda. Em qualquer nível de vencimento da sua organização, os principais riscos de segurança devem aparecer no registo de riscos. Esses riscos são então geridos até um nível aceitável.

Veja o seguinte vídeo para saber mais sobre o alinhamento de segurança e como pode gerir os riscos na sua organização.

O que é o risco de cibersegurança?

O risco de cibersegurança é o potencial dano ou destruição de ativos empresariais, receitas e reputação. Estes danos são causados por atacantes humanos que tentam roubar dinheiro, informações ou tecnologia.

Embora estes ataques ocorram no ambiente técnico, muitas vezes representam um risco para toda a organização. O risco de cibersegurança deve estar alinhado com a sua arquitetura de medição, controlo e mitigação de riscos. Muitas organizações ainda tratam o risco de cibersegurança como um problema técnico a resolver. Esta percepção leva a conclusões erradas que não mitigam o impacto estratégico do negócio do risco.

O diagrama seguinte mostra a mudança de um programa tipicamente orientado tecnicamente para uma estrutura empresarial.

Diagrama que mostra a mudança de um programa tipicamente orientado tecnicamente para uma estrutura empresarial.

Os líderes de segurança têm de se afastar da lente técnica e saber que recursos e dados são importantes para os líderes empresariais. Em seguida, priorize a forma como as equipas passam o seu tempo, atenção e orçamento relacionados com a importância empresarial. A lente técnica é reaplicada à medida que as equipas de segurança e TI trabalham através de soluções. Mas olhar para o risco de cibersegurança apenas como um problema tecnológico corre o risco de resolver os problemas errados.

Alinhar a gestão de riscos de segurança

Trabalhe continuamente para criar uma ponte mais forte entre a cibersegurança e a sua liderança organizacional. Este conceito aplica-se tanto a relações humanas como a processos explícitos. A natureza do risco de segurança e a dinâmica divergente das oportunidades de negócio estão sempre a mudar. As fontes de risco de segurança exigem um investimento contínuo na criação e melhoria desta relação.

A chave para esta relação é compreender como o valor comercial se liga a recursos técnicos específicos. Sem esta direção, a segurança não pode ter a certeza do que é mais importante para a sua organização. Só conseguem proteger os activos mais importantes com palpites sortudos.

É importante iniciar este processo imediatamente. Comece por obter uma melhor compreensão dos recursos confidenciais e críticos para a empresa na sua organização.

O processo típico de início desta transformação é:

  1. Alinhar o negócio numa relação bidirecional:
    • Comunique no respetivo idioma para explicar as ameaças de segurança através da terminologia favorável às empresas. Esta explicação ajuda a quantificar o risco e o impacto na estratégia e missão empresariais gerais.
    • Ouça e aprenda ativamente ao falar com pessoas em toda a empresa. Trabalhe para compreender o impacto nos serviços empresariais e informações importantes se foram comprometidos ou violados. Este entendimento fornece uma visão clara da importância de investir em políticas, normas, formação e controlos de segurança.
  2. Traduza aprendizagens sobre prioridades e riscos empresariais em ações concretas e sustentáveis, tais como:
    • A curto prazo , centra-se em lidar com prioridades importantes.
      • Proteja recursos críticos e informações de alto valor com controlos de segurança adequados. Estes controlos aumentam a segurança ao mesmo tempo que permitem a produtividade empresarial.
      • Concentre-se em ameaças imediatas e emergentes com maior probabilidade de causar impacto comercial.
      • Monitorize as alterações nas estratégias e iniciativas empresariais para se manter em alinhamento.
    • A longo prazo define a direção e as prioridades para fazer progressos constantes ao longo do tempo, melhorando a postura de segurança geral.
      • Utilize a confiança Zero para criar uma estratégia, plano e arquitetura para reduzir os riscos na sua organização. Alinhe-os com os princípios de confiança zero de assumir a violação, o menor privilégio e a verificação explícita. A adoção destes princípios passa de controlos estáticos para decisões mais dinâmicas baseadas no risco. Estas decisões baseiam-se em deteções em tempo real de comportamento estranho, independentemente de onde a ameaça começou.
      • Pague a dívida técnica como uma estratégia consistente ao operar as melhores práticas de segurança em toda a organização. Por exemplo, substitua a autenticação baseada em palavra-passe por autenticação sem palavra-passe e multifator, aplique patches de segurança e extinga ou isole sistemas legados. Como pagar uma hipoteca, você deve fazer pagamentos estáveis para realizar o benefício total e o valor dos seus investimentos.
      • Aplique classificações de dados, etiquetas de confidencialidade e controlo de acesso baseado em funções para proteger os dados contra perdas ou compromissos ao longo do ciclo de vida. Estes esforços não conseguem capturar completamente a natureza dinâmica e a riqueza do contexto e informações empresariais. Mas estes principais ativadores são utilizados para orientar a proteção e governação de informações, limitando o impacto potencial de um ataque.
  3. Estabeleça uma cultura de segurança saudável ao praticar, comunicar e modelar publicamente o comportamento certo. A cultura deve focar-se na colaboração aberta entre colegas empresariais, de TI e de segurança. Em seguida, aplique esse foco a uma "mentalidade de crescimento" da aprendizagem contínua. Foque as alterações de cultura na remoção de silos da segurança, ti e organização empresarial maior. Estas alterações alcançam uma maior partilha de conhecimentos e níveis de resiliência.

Para obter mais informações, veja Definir uma estratégia de segurança.

Compreender o risco de cibersegurança

O risco de cibersegurança é causado por atacantes humanos que tentam roubar dinheiro, informações ou tecnologia. É importante compreender as motivações e os padrões de comportamento destes atacantes.

Motivações

As motivações e incentivos para diferentes tipos de atacantes refletem os de organizações legítimas.

Diagrama que mostra as motivações dos atacantes.

Compreender as motivações dos atacantes pode ajudá-lo a compreender a probabilidade e o impacto potencial de diferentes tipos de ataques. Embora as estratégias de segurança e os controlos técnicos mais importantes sejam semelhantes em todas as organizações, este contexto pode ajudar a orientar as suas áreas de foco de investimento em segurança.

Para obter mais informações, veja Interromper o retorno do atacante sobre o investimento.

Padrões de comportamento

As organizações enfrentam uma série de modelos de atacantes humanos que moldam o seu comportamento:

  • Mercadoria: A maioria das ameaças que as organizações normalmente enfrentam são atacantes com fins lucrativos, impulsionados por um retorno financeiro do investimento (ROI). Normalmente, estes atacantes utilizam as ferramentas e métodos disponíveis mais baratos e eficazes. A sofisticação destes ataques (por exemplo, furtivos e ferramentas) normalmente cresce à medida que novos métodos são comprovados por outros e disponibilizados para utilização em alta escala.

  • Margem superior: Grupos de ataque sofisticados são impulsionados por resultados de missão a longo prazo e muitas vezes têm financiamento disponível. Este financiamento é utilizado para se concentrar na inovação. Esta inovação pode incluir o investimento em ataques da cadeia de fornecimento ou a mudança de táticas numa campanha de ataque para dificultar a deteção e investigação.

Normalmente, os atacantes são:

  • Flexível: Utilizam mais do que um vetor de ataque para obter entrada na rede.
  • Orientada por objetivos: Alcançam uma finalidade definida ao aceder ao seu ambiente. Os objetivos podem ser específicos para as suas pessoas, dados ou aplicações, mas também pode ajustar-se a uma determinada classe de destinos. Por exemplo, "Uma empresa rentável que é susceptível de pagar para restaurar o acesso aos seus dados e sistemas.".
  • Furtivo: Tomam precauções para remover provas ou ocultar os seus rastos, geralmente a diferentes níveis de investimento e prioridade.
  • Paciente: Demoram algum tempo a fazer reconhecimento para compreender a sua infraestrutura e o seu ambiente empresarial.
  • Com recursos e competências: São educados nas tecnologias que estão a visar, embora a profundidade da habilidade possa variar.
  • Experiente: Utilizam técnicas e ferramentas estabelecidas para obter privilégios elevados para aceder ou controlar diferentes aspetos do património.

Passos seguintes

Para que a gestão de riscos seja eficaz, tem de ser integrada em todos os aspetos das suas atividades de governação e conformidade. Para que os riscos sejam devidamente avaliados, a segurança deve ser sempre considerada como parte de uma abordagem abrangente.

  • A integração de segurança é a área de foco seguinte da segurança.