Como Reduzir os Riscos sem Atrasar a Transformação Digital
Postado em 29 de ago. de 2021 por Antonio Plais
Originalmente postado por Raz Mitache*, no blog da BiZZdesign – Tradução autorizada
A segurança cibernética é um dos principais problemas que o mundo dos negócios tem que lidar atualmente, e a sua importância aumentará cada vez mais. Enquanto a tecnologia evolui continuamente para assumir cada vez mais aspectos da vida dos negócios (e pessoal), a necessidade de segurança está ficando significativamente mais aparente por meio de incidentes como as invasões no Yahoo, Experian, Facebook, Microsoft e outros gigantes da tecnologia, assim como inúmeros ataques de ransomware afetando a operação de empresas no mundo e também no Brasil (veja os recentes ataques à JBS e Lojas Renner). A cada ano, um grande número de empresa são atacadas, e apenas alguns poucos casos mais rumorosos acabam chegando ao conhecimento do grande público. O resultado? Um sem número de pessoas ao redor do mundo são afetadas, com o custo de uma segurança cibernética ineficaz chegando facilmente à casa dos milhões.
Jogar tudo na segurança?
Quando você considera tudo isso, parece que a única coisa que resta para ser feito pelas organizações é jogar tudo o que eles têm na segurança cibernética. Está certo? Bem, embora isso possa parecer não intuitivo, a resposta é não. O fato é que a meta final da empresa não é se tornar uma fortaleza digital impenetrável mas (entregar valor para seus clientes para) permanecer no negócio.
Este imperativo da continuidade do negócio é realmente mais difícil de realizar do que nunca em razão de como as condições do mercado estão mudando atualmente – pense nos avanços da tecnologia, nas mudanças regulatórias etc. Desta forma, focar apenas em um aspecto do negócio é uma receita certa para a irrelevância. Inovação, nível de entrega de serviços, satisfação do cliente, conformidade regulatória, cidadania corporativa – estas são apenas algumas outras coisas que uma organização precisa estar consciente para que possa ser bem-sucedida.
Desta forma, acreditamos que a melhor coisa que uma empresa que leva a sério sua estratégia de segurança cibernética pode fazer é operar de uma maneira altamente precisa e com alto impacto. Isso significa reconhecer que medidas ineficazes estão causando tanto mal quanto bem, pelo custo de oportunidade, inconveniência para o usuário ou simplesmente desperdícios. Não é realístico esperar que tudo estará 100% seguro. Existe uma lei dos retornos decrescentes em ação que garante que você nunca chegará lá, mesmo que você tenho todo o tempo e todos os recursos do mundo à sua disposição, o que definitivamente você não tem. Então, o caminho mais razoável é mirar nas fragilidades mais críticas com ações deliberadas bem desenvolvidas – para isso uma postura mental de alta precisão e alto impacto é fundamental.
Mirar com precisão as vulnerabilidades de segurança
Entender o contexto
Para ser capaz de operar ‘cirurgicamente’ você precisa, primeiro, ter uma imagem clara das suas capacidades atuais. Nossa plataforma colaborativa de desenho de negócios, o Horizzon, juntamente com o seu ambiente de modelagem, o Enterprise Studio, estão perfeitamente equipados para ajudá-lo nisso. Usando a nossa plataforma, os usuários podem construir modelos digitais acurados dos seus panoramas de negócio e de tecnologia, eles podem colocar em prática o planejamento baseado em capacidades, e podem ligar as várias capacidades com os processos, aplicativos e infraestrutura que as suportam, para desenvolver um entendimento completo das suas organizações. Como você pode imaginar, isso habilita uma abordagem de segurança por desenho que permite a incorporação dos processos de gerenciamento de riscos e segurança corporativa nos processos de arquitetura e desenho de processos da empresa.
Além das capacidades de modelagem digital que permitem que você explore todos os aspectos da empresa, a plataforma também ajuda a promover a aderência a melhores práticas e à conformidade regulatória. O Horizzon suporta uma ampla gama de padrões e frameworks de segurança, e oferece sólidas funcionalidades de governança de conteúdo. Padrões predominantes, tais como ISO/IEC 27001, NIST 800-53, CSA, Open FAIR, SABSA e outros fornecem estrutura, orientação e métricas apropriadas para empresas que procuram construir uma sólida prática de gerenciamento de risco e segurança. Realmente, eles fornecem a metodologia perfeita para identificar, avaliar e priorizar os objetivos e as operações de segurança. Com as melhores práticas e uma clara visão geral da sua organização (e do seu ecossistema), você está bem posicionado para começar uma avaliação de riscos de segurança.
Executar uma avaliação de segurança
Uma vez que a segurança perfeita é uma meta inalcançável, a ênfase neste ponto deveria ser sobre a maneira mais efetiva de investir o orçamento de segurança. Ao analisar os riscos, ameaças, oportunidades ou as metas de desempenho, uma abordagem baseada em risco oferece a estrutura necessária para conectar e endereçar de forma consistente preocupações sobrepostas. Desenvolver uma cultura consciente do risco dentro da sua organização é um componente crucial para um programa de gerenciamento de risco corporativo de sucesso.
Nós, da Centus e da Bizzdesign, adotamos uma abordagem para risco e segurança que combina vários padrões. Se você quer conhecer mais sobre isso, acesse nosso artigo sobre Como Melhorar a Segurança Cibernética com Arquitetura Corporativa, mas por enquanto é suficiente dizer que as principais etapas neste estágio de avaliação são: Analisar as vulnerabilidades, Avaliar as ameaças e Calcular o risco.
Nossa plataforma fortalece os profissionais de segurança para efetivamente planejar, implementar e amadurecer as práticas do gerenciamento de risco corporativo dentro das suas empresas. Nós inclusive compilamos uma lista bastante completa de vulnerabilidades e ameaças que se mostram úteis na fase de análise. Uma maneira direta de executar uma avaliação de riscos é usar a fórmula Risco = Valor x Probabilidade, pela qual um risco mais alto necessitará mais esforços de mitigação contra eles. Ao final deste estágio você deveria ter um bom entendimento do panorama de riscos que a sua empresa está enfrentando. Aqui está um exemplo de como você fazer uma análise como essa usando Enterprise Studio, o ambiente de modelagem do Horizzon.
A parte inferior do modelo mostra a infraestrutura e os ativos que você quer proteger (‘Registro de pagamento criptografado’). A parte superior mostra:
- Duas vulnerabilidades (‘Canal de transmissão inseguro’ e ‘Criptografia fraca dos dados de pagamento’)
- O agente de ameaça (‘Criminoso Cibernético’)
- Um evento de ameaça (‘Ataque homem-no-meio’)
- Um potencial evento de perda resultante desta ameaça (‘Pagamentos não autorizados’)
- O risco resultante (‘Perda financeira’)
Figura 1. Exemplo de análise de risco
Os sinais de tráfego mostram vários parâmetros, tais como valor do ativo, nível de vulnerabilidade e o nível de risco resultante. Tudo isso é conectado, e o nosso algoritmo de análise de risco calcula os resultados, ou seja, aumentando o nível de risco se você aumenta o valor do ativo ou a capacidade da ameaça.
Desenvolver e implementar medidas de redução de risco
Depois do estágio de avaliação descrito acima, o próximo passo é desenvolver medidas de controle e implementá-las. Com uma visão clara de onde estão as fraquezas, bem como de quais poderiam ser as consequências que uma violação, a meta é criar contramedidas eficientes. A estrutura que nós recomendamos é primeiro considerar as políticas de segurança, seguido pela definição dos objetivos de controle, criar as medidas de controle e, finalmente, implementá-las. Aproveitar as saídas da arquitetura corporativa e/ou do gerenciamento de portfólios pode ajudar muito aqui, porque as recomendações de segurança podem ser ligadas com os elementos vulneráveis reais na camada de infraestrutura, por exemplo, ou nas capacidades de negócio vitais para a organização.
Figura 2. Exemplo de desenvolvimento de medidas mitigadoras do risco
Como parte deste estágio, você deveria calcular o custo das medidas de segurança e comparar isso com os riscos que elas reduzem. Este dinheiro está sendo bem gasto? A alta gerência costumar levar mais a sério os relatórios com recomendações de segurança se eles tornam explícitos os benefícios que eles irão trazer. Uma última recomendação é relacionar as recomendações com valores para a tomada de decisão em um nível pessoal. Por exemplo, você poderia apontar para o fato de que existe uma tendência em direção à responsabilização pessoal das gerências responsáveis no caso de uma invasão ou práticas de negócio não conformes. A LGPD é um destes marcos regulatórios que está expandindo as fronteiras e aumentando a pressão não somente sobre os processadores de dados como também dos controladores de dados, que anteriormente não compartilhavam nenhuma responsabilidade em caso de um evento de segurança. Ao se afastar de medidas caras, mas ineficientes, e atacar os problemas de segurança mais prementes com maior precisão, uma organização tem uma chance melhor de se proteger contra ameaças imediatas bem como sobreviver no longo prazo.
Conclusão
Com as empresas se descobrindo de posse de cada vez mais dados sensíveis dos seus clientes, e com os criminosos aumentando cada vez mais seus esforços para comprometê-los, a segurança cibernética está mais relevante do que nunca. Dadas estas circunstâncias, é fácil para as empresas adotarem uma estratégia de defesa total e ‘cavar um fosso’ em torno da inovação e de todos os elementos que contribuem em direção a um sucesso duradouro. No entanto, essa pode ser um passo em falso estratégico.
Isso porque com um maior controle e prudência você também diminui a flexibilidade e a agilidade, o que diminui a competitividade geral do negócio em uma época que premia a habilidade de se adaptar rapidamente, A solução, cremos nós, é desenvolver um entendimento claro do perfil de risco da empresa e então desenvolver e implementar controles mitigatórios nas áreas que estão sob maior risco. Ser capaz de atualizar digitalmente a empresa e então executar as avaliações de risco em tempo real sobre modelos trás grandes oportunidades para melhoria.
Para saber mais sobre como podemos ajudá-lo a realizar a sua transformação digital com sucesso, entre em contato conosco hoje mesmo!
* Raz Mitache é Consultor da Bizzdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.
eBook
A Prática da Arquitetura Corporativa
Esta é uma versão eletrônica do livro A Prática da Arquitetura Corporativa, de Bas van Gils e Sven van Dijk, traduzido pela Centus Consultoria. Este livro não propõe um novo framework, teoria, ou abordagem para a Arquitetura Corporativa. Ao invés disto, os autores compartilham a experiência e as lições de vários projetos que conduziram ao […]