0
0
Cibersegurança é um problema no nível da diretoria, mas muitas organizações ainda lutam para acertar o gerenciamento de riscos de segurança
Os líderes corporativos agora classificam a segurança cibernética como uma prioridade de nível superior, vendo-a como um risco estratégico que deve ser gerenciado. No entanto, pesquisas com executivos e membros do conselho sugerem que eles ainda estão aquém dessa tarefa.
A Pesquisa Global de Percepção de Risco Cibernético de 2019 da Marsh e da Microsoft descobriu que 79% dos entrevistados colocam o risco cibernético como uma das cinco principais preocupações de sua organização, com 22% dizendo que é a principal preocupação. No entanto, apenas 11% relatam um alto grau de confiança na resiliência cibernética de sua organização.
Enquanto isso, 66% dos entrevistados na Pesquisa de Governança de Empresas Públicas de 2019-2020 da Associação Nacional de Diretores Corporativos disseram que suas empresas abordaram o risco cibernético pelo menos uma vez nas agendas do conselho no ano anterior. Apesar dessa atenção do conselho, 61% dos entrevistados disseram que suas organizações priorizariam operações e iniciativas de negócios em detrimento da segurança cibernética.
Os líderes de segurança dizem que não ficam surpresos com essas descobertas, pois o gerenciamento de riscos de segurança ainda está amadurecendo e muitos executivos lutam para gerenciar efetivamente os riscos. Dado isso, eles dizem que veem muitas organizações cometendo erros nessa área. Aqui estão cinco erros comuns que eles veem os funcionários da empresa cometerem:
Falta de alinhamento de segurança e negócios
A falta de alinhamento entre operações de segurança e estratégia de negócios continua sendo um dos erros mais comuns no gerenciamento de riscos, de acordo com vários CISOs e consultores executivos.
“A maioria dos [CISOs] não mede com o que a empresa realmente se importa. Eles estão medindo exposições técnicas e não os impactos para os negócios. Eles ainda se envolvem demais nas ferramentas e na contagem de vulnerabilidades, mas essas não são medidas do risco cibernético dos negócios. Os CISOs precisam atribuir riscos às coisas de que a empresa se importa”, diz Ryan LaSalle, Diretor Administrativo e Líder Norte-Americano da Accenture Security.
LaSalle diz que segurança e negócios também falham em alinhar suas definições de risco e estabelecer o que consideram níveis aceitáveis – exacerbando ainda mais a desconexão entre segurança e negócios e dificultando o gerenciamento de riscos eficaz (se não impossível).
“Em muitos casos, os negócios e a segurança encaram os riscos e seu impacto de maneira diferente”, explica ele, observando que às vezes a segurança não consegue distinguir para os negócios a diferença entre risco inerente e risco residual deixado após a implantação de controles e mitigação.
Ryan diz que aconselha os CISOs a articular riscos associados a objetivos de negócios específicos, como eles vão reduzir o risco, em que grau eles podem abaixá-lo e a que custo, para que os negócios e a segurança tenham o mesmo entendimento do risco que a organização está assumindo. “Em outras palavras, os CISOs precisam explicar por que esse risco é importante para os negócios”, acrescenta.
Visibilidade limitada
Muitos executivos estão gerenciando o risco em partes – mas não todas – de sua organização porque não têm total visibilidade da empresa. “Existe um equívoco comum de que uma organização tenha uma visão completa do cenário”, diz Tony Buffomante, Co-Líder Global de Serviços de Segurança Cibernética da KPMG. No entanto, ele descobriu que muitos CISOs não possuem um inventário completo de ativos de TI ou uma lista completa de todos os fornecedores terceirizados e aplicativos em nuvem usados por funcionários e unidades de negócios. “Como resultado, muitas empresas executam programas de avaliação de risco em um inventário que não é robusto ou não é preciso”, diz ele.
Outros concordam que os CISOs geralmente não têm uma visão completa do ambiente empresarial. As razões para isso variam. Às vezes, as empresas adquiridas não são totalmente integradas à empresa controladora. Às vezes, as divisões executam suas próprias operações de tecnologia e erguem paredes em torno desses silos. Independentemente do motivo, esses cenários deixam os CISOs sem a capacidade de avaliar completamente o risco que a organização enfrenta como um todo.
Ao mesmo tempo, muitas operações de segurança têm visibilidade limitada de seus próprios esforços, pois não estão usando métricas que podem ajudá-las a quantificar os riscos e como estão mudando ao longo do tempo, diz Mike Sprunger, Gerente Sênior da Consultoria de Segurança da Insight. Ele diz que as organizações de pequeno e médio porte geralmente não rastreiam as métricas de risco porque não têm dinheiro e experiência para implementar essas práticas, enquanto as grandes empresas às vezes não o fazem porque estão sobrecarregadas com a complexidade de tal empreendimento.
Os consultores reconhecem que obter visibilidade total do ambiente de tecnologia e das operações de segurança exige trabalho árduo. Os CISOs devem quebrar os silos de longa data da atividade de TI, apoiando-se em suas habilidades executivas, e precisam priorizar os requisitos de supervisão para criar um programa de métricas que possa fornecer insights quantitativos.
“Um profissional de segurança deve querer quantificar riscos em termos concretos, de maneiras mensuráveis, repetíveis e significativas, porque o risco é tudo sobre o que poderia acontecer e o que provavelmente acontecerá. Muitos [CISOs] analisam todas as coisas possíveis, mas isso não leva a lugar algum. Você precisa analisar o que provavelmente acontecerá em sua organização para gerenciar melhor os riscos”, acrescenta Sprunger.
Colocando estruturas em primeiro lugar
Os desafios e a complexidade da função de cibersegurança corporativa deram origem a várias estruturas, mas Christopher Kennedy, CISO e Vice-Presidente de Sucesso de Clientes da AttackIQ, vê um risco ao se concentrar muito no uso de estruturas regulatórias e de conformidade para gerenciar riscos.
Ele diz que alguns líderes de segurança enfatizam erroneamente o cumprimento dos requisitos da estrutura – marcando as caixas, por assim dizer – e veem a conformidade com estruturas como o objetivo final, em vez de concentrar recursos na compreensão das necessidades exclusivas de sua própria organização, alinhando as iniciativas de segurança à estratégia de negócios e preenchendo lacunas em seu programa de segurança.
“A quantidade de trabalho necessária para gerenciar a verificação das caixas prejudica os recursos dos problemas que o CISO começou”, diz Kennedy. “Portanto, se eu, como CISO, tenho uma grande parte da minha equipe trabalhando nessas estruturas, não estou construindo um relacionamento profundo e integral com meus negócios. Isso significa que eu poderia ser visto como um inibidor para os negócios, porque estou focado nesses requisitos de estrutura, e não nas necessidades dos negócios”.
Kennedy não descarta completamente o valor das estruturas, contudo, ele diz que as organizações precisam conectar os requisitos de uma estrutura a uma estratégia que seja informada pelas ameaças específicas e mais prováveis que eles e seus setores estão enfrentando, bem como pela tolerância a riscos que eles estabeleceram.
Dando peso igual a todas as ameaças
Dada a crescente lista de ameaças, vetores de ataque e vulnerabilidades enfrentadas por toda e qualquer organização, os CISOs podem ficar tentados a lidar com todas elas. No entanto, os CISOs e consultores dizem que uma abordagem tão ampla é um erro. Em vez disso, eles precisam ser mais focados. “Muitas pessoas não começam com uma forte visão de onde são vulneráveis e contra quem são vulneráveis; eles estão tentando ferver o oceano “, diz Philip Martin, CISO da Coinbase.
Martin diz que uma abordagem muito ampla dilui os esforços e aumenta as despesas, sem um aumento proporcional na postura de segurança e nos recursos de gerenciamento de riscos.
Para gerenciar melhor os riscos, ele e outros líderes de segurança dizem que as organizações devem ser mais direcionadas.
“Precisamos pensar em probabilidade e impacto. Com muita frequência, olhamos para o mais novo e brilhante ataque. Mas quando você olha para o seu risco, quem está atrás de você e o que eles estão usando, você pode criar um programa de mitigação direcionado e se concentrar nos ataques com maior probabilidade de causar problemas. Todos temos equipes limitadas, orçamento limitado e equipe limitada. Temos que focar no que é mais provável para causar problemas para nós e nossas empresas”, diz Martin.
Por exemplo, ele diz que uma fábrica de produção de autopeças do Centro-Oeste precisa priorizar a proteção de sua propriedade intelectual e sua infraestrutura contra alertas de empresas estrangeiras que visam empresas americanas, mas pode pressionar os ataques formulados para roubar dinheiro (como aqueles geralmente lançados contra instituições financeiras) na lista de prioridades.
Deixar de considerar elementos de tempo
Embora as auditorias de segurança ou conformidade possam fornecer ao C-suite uma indicação do desempenho de um programa de segurança, os especialistas alertam que eles indicam desempenho no momento da auditoria; eles não garantem o sucesso do avanço – especialmente devido à rapidez com que novas ameaças podem evoluir e à rapidez com que as políticas de segurança e as avaliações de risco devem mudar para resolvê-las.
“Vemos muitas organizações executando um processo de auditoria, mas elas não estão aproveitando as informações de inteligência de ameaças em tempo real para ajudá-las a esclarecer quais riscos são relevantes para sua organização naquele momento”, diz Buffomante. “Eles precisam ter uma avaliação mais contínua de onde estão suas áreas de alta prioridade”.
Buffomante diz que as organizações estão atendendo cada vez mais a essa necessidade implementando automação, machine learning e inteligência artificial para gerar mais avaliações de segurança em tempo real. As organizações precisam criar processos que lhes permitam usar mais rapidamente essas avaliações em tempo real para ajustar e gerenciar riscos. No entanto, os líderes de segurança dizem que as organizações também devem reconhecer que às vezes as iniciativas para lidar com os riscos recém-identificados levam tempo.
“Atualmente, a velocidade da análise supera a velocidade de tomar decisões e tomar medidas”, diz LaSalle. As equipes de segurança devem incorporar isso em seus relatórios de planejamento e progresso. Se eles pedirem aos colegas de TI e às unidades de negócios que tratem de uma nova ameaça como uma maneira de elevar os riscos a um nível aceitável, a segurança deve ser realista sobre quanto tempo levará para que o trabalho seja realizado.
“Você não deseja que a equipe de segurança desestimule os negócios a fazer a coisa certa, porque os persuade a fazer as coisas. Tem que haver uma cadência melhor durante o tempo necessário para resolver o problema incorporado nos relatórios”, afirma LaSalle. “Você precisa fornecer ações incrementais mais imediatas em vez de fazer a grande mudança ou garantir que sua orientação se encaixe no que a empresa pode fazer”.
Fonte: CIO