0
0
Para a maioria das organizações hoje, a superfície de ameaças é ampla e cada vez mais ampla. Existem as preocupações óbvias, como a base de usuários, computação remota ou BYOD, infraestrutura local e nuvem, SaaS e ambientes virtuais. Mas, à medida que as empresas e as cadeias de suprimentos se tornam mais interligadas, os CISOs precisam examinar com mais atenção os recursos externos e terceirizados ou fornecedores e ativos no exterior .
Os programas de gerenciamento de risco associados também estão em constante evolução, e isso provavelmente se deve a influências externas, como requisitos de contrato de clientes, solicitações do conselho e/ou incidentes de segurança específicos que exigem que as equipes de segurança repensem e reforcem sua estratégia. Não é de surpreender que os CISOs de hoje enfrentem vários dilemas: Como defino o impacto comercial de um evento cibernético? Quanto custará proteger os ativos mais valiosos de nossa empresa? Quais investimentos tornarão o negócio mais seguro? Como evitamos ser desviados pela última manchete de violação cibernética?
Um programa de análise de risco maduro pode ser pensado como uma pirâmide. A conformidade com a estrutura voltada para o cliente forma a base (estruturas PCI/ISO necessárias para geração de receita); em seguida, segurança de infraestrutura orientada a incidentes no meio (segurança focada no sistema com base em ameaças e vulnerabilidades comuns conhecidas); com cobertura abrangente orientada por análise no auge (identificação de ativos, avaliações e avaliação de risco de ameaça/vulnerabilidade).
Como você inicia esse programa? Aqui estão cinco etapas que considero eficazes para fazer a análise de risco decolar.
Determinar ativos específicos da empresa
O primeiro passo é determinar o que é crítico proteger. Ao contrário dos ativos contábeis (por exemplo, servidores, laptops, etc.), em termos de segurança cibernética, isso incluiria coisas que normalmente têm um valor comercial mais amplo. Muitas vezes, o caminho mais rápido é conversar com os líderes de diferentes departamentos. Você precisa entender quais dados são críticos para o funcionamento de cada grupo, quais informações eles possuem que seriam valiosas para os concorrentes (preços, clientes etc.) e quais divulgações de informações prejudicariam o relacionamento com os clientes (dados contratuais, por exemplo).
Avalie também se cada departamento lida com segredos comerciais ou detém patentes, marcas registradas e direitos autorais. Por fim, avalie quem lida com informações de identificação pessoal (PII) e se o grupo e seus dados estão sujeitos a requisitos regulatórios, como GDPR, PCI DSS, CCPA, Sarbanes Oxley, etc.
Ao fazer essas avaliações, tenha em mente três fatores: o que precisa ser seguro e não pode ser roubado, o que deve permanecer acessível para o funcionamento contínuo de um determinado departamento ou organização e quais dados/informações devem ser confiáveis (ou seja, que que não pode ser alterado sem o seu conhecimento) para que as pessoas façam seus trabalhos.
Valorize os ativos
Depois de identificar esses ativos, o próximo passo é anexar um valor. Mais uma vez, faço três recomendações: mantenha a simplicidade, faça suposições (informadas) e erre por superestimar. A razão para essas recomendações é que a conclusão de uma avaliação de ativos completa para uma empresa levaria anos e nunca seria concluída (porque os ativos mudam constantemente).
A análise de risco eficiente requer uma abordagem mais prática que usa categorias amplas, que podem ser priorizadas para entender onde uma análise mais profunda é necessária. Por exemplo, você pode usar as seguintes categorias e atribuir valores com base em suposições informadas:
- Vantagem competitiva – os itens/processos/dados que são exclusivos da sua empresa e baseados na experiência. Esses são itens que seriam valiosos para um concorrente construir. Para determinar o valor, considere o custo de desenvolver um concorrente legítimo em seu mercado dominante do zero, incluindo tecnologia e despesas gerais.
- Relacionamento com o cliente – o que impacta diretamente o relacionamento com o cliente e, portanto, a receita. Isso inclui impactos de “disponibilidade” de interrupções, SLAs , etc. A determinação do valor provavelmente será sua meta anual de EBIT , e o impacto pode ser ajustado por uma exposição de perda única.
- Parcerias de terceiros – relacionadas à sua capacidade de iniciar, manter ou aumentar redes de parceiros, como contratados, ISPs ou outros provedores. Ao avaliar, considere o custo do trabalho do funcionário necessário para recrutar e manter esses parceiros.
- Desempenho financeiro – itens que impactam a capacidade de sua empresa atingir metas financeiras. Novamente, a avaliação pode equivaler ao EBIT anual.
- Relações com funcionários – os ativos que afetam sua capacidade de recrutar e reter funcionários. A avaliação deve considerar o volume de perdas potenciais e necessidades de preenchimento associadas, incluindo salários-base, bônus, equivalências de benefícios, etc.
Determine as ameaças relevantes, avalie a vulnerabilidade e identifique as exposições
Quando se trata de analisar riscos de ameaças, vulnerabilidades e exposições, comece com o modelo de tríade de segurança comum para segurança da informação. Os três pilares – Confidencialidade, Integridade e Disponibilidade (CIA) – ajudam a orientar e focar as equipes de segurança à medida que avaliam as diferentes maneiras de abordar cada preocupação.
Confidencialidade toca na segurança e privacidade dos dados; envolve não apenas manter os dados seguros, mas também garantir que apenas aqueles que precisam de acesso os tenham.
A integridade reflete a necessidade de garantir que os dados sejam confiáveis e invioláveis. Embora a precisão dos dados possa ser comprometida por erros simples, o que mais preocupa a equipe de segurança é o comprometimento intencional projetado para prejudicar a organização.
Disponibilidade é exatamente o que parece – garantir que as informações possam ser acessadas onde e quando necessário. A disponibilidade é um aspecto da tríade em que as equipes de segurança precisam se coordenar de perto com a TI em backup, redundância, failover etc. Dito isso, também envolve tudo, desde acesso remoto seguro a patches e atualizações oportunos até a prevenção de atos de sabotagem, como negação de serviço ou ataques de ransomware.
Ao realizar esta parte da avaliação de risco, você está usando esta tríade de segurança para determinar as ameaças e, em seguida, identificar a exposição e avaliar a vulnerabilidade para estimar melhor o impacto potencial e a probabilidade de ocorrência. Depois que essas determinações forem feitas, você estará pronto para a próxima etapa.
Definir risco
AV = Valor do Ativo atribuído (quantitativo/qualitativo) conforme identificado acima.
EF = o Fator de Exposição, uma avaliação subjetiva da perda percentual potencial para o ativo se uma ameaça específica for concretizada. Por exemplo, um ativo pode ser degradado pela metade, dando um EF de 0,50.
A partir disso, podemos calcular a Expectativa de Perda Única (SLE) – o valor monetário do risco único para um ativo – multiplicando AV e EF. Por exemplo, se o valor do ativo for US$ 1 milhão e o fator de exposição de uma ameaça for uma perda de 50% (0,50), o SLE será de US$ 500.000.
A definição de risco também leva isso um passo adiante usando este SLE e multiplicando-o por uma taxa de ocorrência anualizada (ARO) potencial para obter a expectativa de perda anualizada (ALE). Isso nos ajuda a entender o risco potencial ao longo do tempo.
Ao trabalhar com esses números, é importante reconhecer que a perda potencial e a probabilidade de ocorrência são difíceis de definir e, portanto, o potencial de erro é alto. É por isso que incentivo a simplificação e a superestimação ao avaliar os ativos – o objetivo é avaliar amplamente a probabilidade e o impacto do risco para que possamos concentrar melhor os recursos, não para obter as equações em si perfeitamente precisas.
Implementar e monitorar salvaguardas (controles)
Agora que lidamos melhor com os riscos organizacionais, as etapas finais são um território mais familiar para muitas equipes de segurança: implementar e monitorar os controles necessários e apropriados.
Você provavelmente já está muito familiarizado com esses controles. São as contramedidas – políticas, procedimentos, planos, dispositivos, etc. – para mitigar o risco.
Os controles se enquadram em três categorias: preventivo (antes de um evento), detetive (durante) e corretivo (depois). O objetivo é tentar interromper um evento antes que ele aconteça, reagir rapidamente assim que ele acontecer e, posteriormente, colocar a organização de pé de forma eficiente.
Os controles de implementação e monitoramento são onde a borracha atinge a estrada do ponto de vista da segurança. E esse é o objetivo da análise de risco, para que os profissionais de segurança possam concentrar melhor os esforços onde e como for apropriado para mitigar o risco organizacional geral.
FONTE: HELPNET SECURITY