Racionalmente falando, é um desafio enorme para a maioria das organizações atuar em todas as frentes necessárias para garantir um bom nível de proteção digital. A cibersegurança com base em risco é uma abordagem que ajuda a definir por onde começar ou onde focar.
Basicamente, a ideia é identificar e avaliar os riscos, seu potencial impacto e probabilidade de ocorrência para proteger melhor os ativos mais críticos e vulneráveis ao invés de proteger todos os ativos igualmente. Essa busca por eficiência no uso dos recursos e nos esforços de segurança demanda análise contínua de ameaças e vulnerabilidades.
Trata-se de uma estratégia que contrapõe a abordagem tradicional de “defesa em profundidade” que começou a mostrar limitações, sobretudo com o crescimento exponencial de dispositivos conectados e a complexidade do cenário de ameaças.
Abordagem baseada na maturidade x abordagem baseada em risco
A defesa em profundidade também pode ser chamada de abordagem baseada em maturidade. Há tempos e ainda nos dias de hoje, os níveis de maturidade de uma organização são medidos em diversos aspectos, inclusive da sua segurança cibernética.
Falamos de um conceito antigo e, portanto, bastante respeitado e perseguido pelas empresas. Com base nessa abordagem, costumamos encontrar um modelo estruturado em níveis em que cada um representa um grau crescente de sofisticação e eficácia das práticas de segurança.
Em linhas gerais, o objetivo é a melhora contínua das práticas de segurança cibernética alcançadas a partir da padronização e otimização de processos e controles de segurança, refletindo gradualmente em ganho de maturidade.
Parece bom e é, mas não necessariamente dá conta de uma realidade em que as ameaças evoluem tão rapidamente e o cibercrime está na lista das 10 maiores preocupações globais, segundo o Global Risks Report.
É por isso que, como alternativa, surgiu a cibersegurança com base em risco. Ao invés de seguir um modelo predefinido, é uma abordagem mais dinâmica e adaptativa que foca em proteger os ativos mais críticos e vulneráveis, alocando os recursos de segurança de forma mais eficiente.
Algo que permite à organização se adaptar mais rapidamente às mudanças no cenário de ameaças e às suas próprias necessidades em relação à sua proteção.
| Abordagem baseada em maturidade | Abordagem baseada em risco | |
| Foco principal | Desenvolvimento de práticas e processos | Identificação e mitigação de riscos |
| Estrutura | Níveis de maturidade predefinidos | Avaliação contínua e adaptativa dos riscos |
| Flexibilidade | Menos flexível, mais padronizada | Alta flexibilidade e adaptabilidade |
| Complexidade | Menos complexa de implementar | Mais complexa, requer análise contínua |
Cibersegurança com base em risco: uma transformação em ações sequenciais
Se a abordagem baseada em maturidade é a mais tradicional, é de se esperar que qualquer empresa que tope uma mudança para a cibersegurança com base em risco se depare com um desafio.
O movimento é de deixar de fazer algo que todo mundo se acostumou a fazer e optar por um novo que tem mais complexidade e demanda esforço contínuo. Vale a pena porque realmente resulta em ganho de eficiência em termos de esforço e direcionamento de recursos, e porque aumenta as chances de mitigação de riscos cibernéticos.
Embora ainda seja uma prática menos comum, já existem várias empresas que fizeram essa opção e sua experiência, atrelada à expertise de diversos especialistas em segurança, aponta para melhores práticas e ações sequenciais bastante úteis. Acompanhe!
- Incorporar totalmente a segurança cibernética na estrutura de gerenciamento de riscos empresariais
O que significa encarar a segurança cibernética como um componente essencial da estrutura de gestão de riscos da organização, garantindo que as ameaças oriundas desse ambiente sejam tratadas com a mesma seriedade que outros riscos empresariais.
- Definir as fontes de valor empresarial entre equipes, processos e tecnologias
Diz respeito a identificar e priorizar os ativos críticos que geram valor para a organização ― incluindo pessoas, processos e recursos tecnológicos ―, para focar os esforços de segurança nos elementos mais importantes.
- Entender as vulnerabilidades de toda a organização – entre pessoas, processos e tecnologia – internamente e para terceiros
Algo que direciona a uma avaliação abrangente das vulnerabilidades internas e externas que inclui a cadeia de suprimentos e parceiros terceirizados para que também sejam considerados na análise de riscos, impactos e decisões de segurança.
- Compreender os “agente de ameaças” relevantes, suas capacidades e suas intenções
O que, em outras palavras, significa analisar e identificar os agentes de ameaças mais relevantes para a organização, incluindo hackers, grupos de crime organizado e agentes estatais, compreendendo o que são capazes de fazer e por que.
- Vincular os controles nas atividades de “execução” e nos programas de “mudança” às vulnerabilidades que eles abordam e determinar quais novos esforços são necessários
Quer dizer mapear os controles de segurança existentes para as atividades operacionais e programas de mudança, garantindo que abordem as vulnerabilidades identificadas e determinando onde são necessários novos controles ou melhorias.
- Mapeie os riscos empresariais a partir da estrutura de gerenciamento de riscos empresariais
Essa ação deve levar em consideração os agentes das ameaças e suas capacidades, as vulnerabilidades que eles visam explorar e os controles de segurança das atividades de execução de segurança cibernética da organização e do programa de mudanças.
A partir disso, a ideia é criar um mapa detalhado dos riscos empresariais, integrando informações sobre agentes de ameaças, vulnerabilidades e controles de segurança, para fornecer uma visão holística do risco cibernético.
- Traçar os riscos em relação ao apetite ao risco da empresa
Aqui a ideia é avaliar os riscos identificados em relação ao apetite ao risco da empresa, relatando regularmente como os esforços de segurança cibernética estão contribuindo para a minimizar eventuais riscos cibernéticos.
O processo deve levar a um relatório sobre como os esforços cibernéticos reduziram o risco empresarial.
- Monitorar os riscos e os esforços cibernéticos em relação ao apetite ao risco, aos principais indicadores de risco cibernético (KRIs) e aos principais indicadores de desempenho (KPIs)
Essa ação sugere implementar um sistema contínuo de monitoramento que rastreie os riscos cibernéticos e os esforços de mitigação em relação ao apetite ao risco da empresa, utilizando KRIs e KPIs para medir a eficácia das iniciativas de segurança adotadas.
Benefícios de uma estratégia baseada em riscos
A cibersegurança com base em risco é mais adequada ao contexto de ameaças que as empresas enfrentam atualmente, uma vez que considera a criticidade e vulnerabilidade de cada ativo para nortear as ações de segurança. Com base nisso, destacamos os seguintes benefícios:
- priorização de recursos: alocação eficiente de dinheiro, mão de obra e tempo para proteger os ativos mais importantes e vulneráveis;
- redução de impactos: mitigação de riscos com maior potencial de impacto, minimizando probabilidade de incidentes graves;
- adaptação dinâmica: capacidade de ajustar rapidamente as defesas em resposta a ameaças e vulnerabilidades emergentes;
- melhoria na tomada de decisões: informações baseadas em risco levam a decisões estratégicas e operacionais melhores;
- aumento da resiliência: fortalecimento da capacidade da organização de resistir e se recuperar de incidentes cibernéticos;
- transparência: melhora a comunicação sobre riscos e medidas de mitigação entre as partes interessadas, incluindo a alta administração e o conselho;
- foco em resultados: direciona para tangibilização da redução de riscos ao invés do simples cumprimento de requisitos de maturidade.
Evolua sua abordagem de cibersegurança com a Prolinx!
Talvez o principal desafio da cibersegurança com base em risco seja a disponibilidade para a avaliação contínua e adaptativa desses riscos. Algo que requer tempo e expertise para focar em identificação e análise de riscos, impactos e probabilidade de ocorrência para direcionar as ações de proteção.
A boa notícia é que sua empresa pode terceirizar essa ação e ainda contar com a orientação de especialistas para definir quais estratégias e ferramentas de segurança implementar para corrigir vulnerabilidades antes que sejam exploradas por cibercriminosos.
