Como mudar a mentalidade do gerenciamento de riscos: de medo e evitação para desempenho e valor

Para profissionais de segurança cibernética, a natureza do gerenciamento de riscos está evoluindo de uma abordagem de fora para dentro, com medos e receios, para uma mentalidade de dentro para fora sólida que facilita negócios e entrega valor facilmente quantificável. A segurança cibernética protege ativos da informação contra ataques insidiosos, como ransomware, a ameaça de derrubar operações, que podem fazer com que empresas percam milhões de dólares em um dia. Apesar da ameaça constante de ataques, o conceito de gerenciamento de riscos de TI permanece como sendo algo estranho para diversas equipes de operações de segurança.

Isso pode parecer um paradoxo, organizações de segurança evitando a adoção de gerenciamento de riscos estratégicos em uma época onde riscos nunca foram tão altos, mas é fácil de entender devido à natureza humana e ao ambiente no qual a maioria das organizações de segurança opera.

Por nossa natureza, buscamos evitar riscos. Um exemplo é o uso de cintos de segurança em automóveis. Quando o advogado de varejo americano Ralph Nader publicou o artigo Unsafe at Any Speed¹ em 1965, ficou claro para qualquer prestando atenção que automóveis eram perigosos e cintos de segurança podiam salvar vidas. Nos próximos anos, foram aprovadas normas em diversos países obrigando que todos os carros fossem equipados com cintos de segurança. Ainda assim, a maioria dos motoristas não os usava, mesmo cientes que o cinto de segurança poderia salvar vidas. Nos anos seguintes, fabricantes de automóveis tentaram tornar o cinto de segurança mais utilizável, até mesmo automatizando-o, mas a maioria dos motoristas continuou a ignorá-los. Por fim, no final da década de 70 e início de 80, após milhares de mortes previsíveis, foram aprovadas leis obrigando o uso do dispositivos em diversos países e só aí as dele aumentaram. Hoje, por exemplo, Austrália,² Alemanha,³ Japão,⁴ Estados Unidos⁵ e Reino Unido⁶ apresentam taxas de uso de cinto de segurança de 90% ou mais.

O risco de morte não fez com que motoristas usassem o cinto de segurança: o risco de multas, resultantes das leis de obrigatoriedade de seu uso, teve um impacto considerável nos motoristas para usar o dispositivo. Ainda assim, alguns motoristas ainda insistem em não usar o cinto de segurança hoje em dia. Os automóveis atualmente possuem alertas e detecção em tempo real, por indicações visuais e audíveis, para incentivar o uso do cinto de segurança. Um risco improvável e alto não mudou o comportamento humano; um risco menor, e mais provável, foi o que o fez. O estado final inclui alerta e detecção em tempo real para promover ações.

A mesma dinâmica vale para a segurança cibernética. Os danos para as empresas por violações de dados são bem documentados; no entanto, em vista das milhões de empresas no mundo, a probabilidade de um incidente realmente catastrófico pareceu remota para a maioria das pessoas durante a era moderna de violações de segurança. Da mesma maneira que as leis de uso de cinto de segurança mudaram o comportamento dos motoristas, as normas de privacidade de dados mudaram o comportamento das empresas. Requisitos de divulgação de violações e a ameaça de auditorias adicionaram um risco menor e mais provável que forçou as empresas a investirem em infraestrutura e processos de segurança modernos - frequentemente, pela primeira vez. É dever das organizações de gerenciamento de risco colocar em prática funções de alerta e resposta em tempo real.

O ambiente no qual a maioria das organizações de segurança opera inclui a falta de mão de obra apta em segurança cibernética e mais tecnologia e ferramentas do que as organizações de segurança conseguem gerenciar de forma efetiva. Esse ambiente foi limitou diversas organizações de segurança a uma mentalidade de “manter as luzes acesas”, que se concentra nas tarefas operacionais diárias de TI. A capacidade de recuar um passo para ganhar perspectiva, avaliar riscos empresariais e só então implementar a estratégia de segurança adequada é afetada pelo conjunto infinito de alertas, atualizações e obrigações que mantêm pequenas equipes de segurança presas em um estado constante de combater emergências.

Esse ambiente fez com que a estratégia de segurança cibernética fosse direcionada amplamente pelo medo de forças externas - como normas e novas ameaças que, por sua vez, exigem novas ferramentas. O receio de multas ou o próximo vetor de ataque de hiper-mídia não é uma estratégia de gerenciamento de riscos. Por exemplo, no mercado hoteleiro, o medo das violações da Norma de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) motiva muitas organizações de segurança a adotar medidas para respeitar e mitigar os riscos de dados de cartão de crédito. No entanto, os criminosos mudaram seu alvo de dados de cartão de crédito para programas de fidelidade e outras fontes de dados não sujeitas à PCI.⁷ A fixação por um único alvo de ameaça (PCI) permitiu que uma ameaça potencialmente maior fosse exposta (informações de identificação pessoal de clientes).

O exemplo da indústria de hospitalidade vale para diversos outros setores, devido, em muitos casos, à transformação digital que tem causado aumentos simultâneos em níveis de ataque empresarial e à criação de novos armazenamentos de dados valiosos que são ataques para criminosos virtuais. A segurança padrão se concentra em respeitar uma única regulação ou ameaça e faz pouco para reduzir o risco geral de segurança cibernética.

A convergência de normas abrangentes de privacidade, como a Lei Geral de Proteção de Dados (LGPD) da UE⁸ e a Lei de Privacidade de Consumidores da Califórnia;⁹ estratégia adversária em evolução; e crescimento pautado por transformações digitais nas superfícies de ataque criaram a tempestade perfeita de riscos para empresas em todos os locais. Riscos de TI ou cibernéticos não podem mais ser uma consideração secundária: a TI precisa ser o ponto principal da estratégia de segurança empresarial. As motivações por trás do gerenciamento de riscos precisam evoluir do medo de multas e constrangimento público para impulsionar valor de negócios ao mitigar riscos de forma efetiva onde quer que estejam.

Elementos da gestão moderna de riscos

A Estrutura de TI de riscos da ISACA é uma metodologia madura e bem-definida para adoção de uma abordagem de gerenciamento de riscos na segurança cibernética. A Figura 1 mostra que o gerenciamento de riscos de TI se baseia em seis princípios essenciais:

• Sempre conecte o risco de TI aos objetivos de negócios.
• Alinhe o gerenciamento de riscos de TI com a função geral de gerenciamento de riscos da empresa (se esta existir).
• Equilibre os custos e benefícios de gerenciar os riscos de TI.
• Promova a comunicação sincera e aberta de riscos de TI.
• Estabeleça o gerenciamento de riscos de TI no nível empresarial superior e defina e coloque em prática responsabilidade por operar dentro de níveis de tolerância bem definidos e aceitáveis.
• Faça do gerenciamento de riscos de TI um processo contínuo como parte das atividades diárias.

Esse princípio final é, muitas vezes, o mais ignorado nas iniciativas de riscos cibernéticos. Por exemplo, algumas organizações de segurança realizam testes de invasão apenas periodicamente. No entanto, os ciber-criminosos de hoje não entram em folga quando empresas não estão realizando testes de invasão. Os ciber-criminosos sondam constantemente as defesas e buscam oportunidades de causar danos. Dessa forma, as organizações de segurança empresarial devem implementar monitoramento de riscos contínua com programas como testes frequentes de invasão se esperam manter o ritmo com a estratégia do adversário.

A primeira etapa para implementar a TI de riscos é realizar uma avaliação de riscos abrangente, em relação às normas adequadas da mercado e práticas recomendadas para entender onde há lacunas. Após a avaliação de lacunas ser concluída, o resultado é uma lista de itens a serem tratados e é justamente aí que os problemas surgem.Muitas organizações de segurança simplesmente tratam da lista de itens para garantir que estejam em conformidade com as normas adequadas. No entanto, as organizações de segurança precisam ir além do compliance obrigatório e simples e adotar uma cultura de transformação de riscos para que todos os itens na lista estejam envolvidos em controle, planejamento e monitoramento de riscos contínuos. Esse requisito para transformação de riscos está se tornando cada vez mais importante devido à adoção de novos recursos e paradigmas de TI, como transformação digital, SensorNet, nuvem e DevOps, que estão ampliando significativamente os níveis de ataque empresarial.

Fundamentalmente, a transformação de riscos muda a estratégia de segurança de uma perspectiva de fora para dentro, onde ameaças externas e normas pautam a estratégia, para uma perspectiva de dentro para fora, onde o risco de negócios específico da organização norteia a estratégia e os gastos com segurança. Os tempos de comprar mais outra ferramenta para combater uma nova ameaça ficaram para trás: não há profissionais suficientes para executar a infraestrutura resultante dessa estratégia.Adicionalmente, ameaças sérias que ganham as notícias podem apresentar riscos mínimos a uma empresa, de forma que dinheiro e mão de obra podem acabar sendo desperdiçados em seu combate.

Gerenciamento de riscos na prática

Quando organizações de segurança migram da segurança padrão de fora para dentro rumo a uma mentalidade voltada para riscos de dentro para fora, descobertas surpreendentes são feitas. Por exemplo, uma fábrica tinha grandes instalações autônomas distribuídas por todo o mundo. A organização havia implementado um sistema de gestão empresarial (ERP) para conectar todas as instalações e atuar como o centro nervoso por trás de suas operações de manufatura just-in-time (JIT). A empresa realizou uma avaliação de segurança e categorizou riscos por possíveis danos à receita. A empresa quantificou altos riscos como US$ 25 milhões ou mais em perdas; baixos riscos como US$ 5 milhões ou mais em perdas; e riscos médios como um valor entre eles.

Com a implantação do ERP, a rede (WAN) global se tornou o ativo mais importante na empresa porque a WAN era o backbone através do qual o sistema de ERP conectava plantas a fornecedores para operações de JIT, equipamentos para dados de manutenção e desempenho e sedes para relatórios financeiros e de produção etc. Uma vez que as plantas operam 24 horas por dia, 7 dias por semana, quaisquer interrupções na WAN custariam à empresa mais de US$ 3 milhões por dia, mas a empresa não percebeu que a WAN era o ponto de falha único mais importante em sua cadeia.

Durante o exercício anual de gerenciamento de riscos de TI, foi descoberto em uma planta que a WAN terminava em um armário de fiação não protegida sem alimentação reserva. Era o pesadelo clássico de um armário de fiação, com fios trançados e nenhuma tranca na porta. Essa descoberta representou um risco multimilionário como um ponto único de falha para os negócios.Uma interrupção na alimentação de apenas dois dias teria causado perdas de US$ 6 milhões, algo na categoria de risco médio. A descoberta levantou a questão de quantos outros armários de fiação desse existiam na organização. A empresa percebeu que precisava investir em sua WAN para assegurar que fosse totalmente redundante e estivesse protegida em todos os pontos.

Este exemplo mostra que, ao migrar para um modelo holístico de riscos cibernéticos, os sistemas de TI e a segurança são vistos pela perspectiva de operações e objetivos de negócios. IEm vez de se concentrar nas mais recentes ameaças cibernéticas e novas ferramentas para impedi-las, as empresas podem entender as situações que representem riscos reais (por exemplo, a WAN saindo de operação) e criar uma empresa muito mais resiliente.

Conclusão

A segurança cibernética opera em uma dimensão de riscos isolada em diversas empresas. As organizações de gerenciamento de riscos empresariais continuam a se concentrar em riscos tradicionais (por exemplo, processos, interrupção na cadeia de suprimentos e recall de produtos) e deixam a segurança a cargo do diretor-chefe de segurança (CISO). Essa dimensão precisa ser eliminada, porque as ameaças cibernéticas e normas novas e rigorosas podem causar interrupções graves aos negócios e perda de receita.

Mesmo se as empresas demorarem para desenvolver a segurança cibernética em estruturas de gerenciamento de riscos empresariais, os CISOs podem seguir em frente com uma estratégia de segurança focada em riscos que não apenas reduz a probabilidade de incidentes de segurança sérios, como também facilita a comunicação do valor de suas operações para os executivos. Por exemplo, ser capaz de reportar que a empresa estava protegida contra uma possível interrupção do sistema que custaria US$ 3 milhões por dia hoje é mais importante para o diretor-chefe de finanças (CFO) do que relatar que a organização de segurança investigou 700 possíveis invasões à rede hoje.

Transformar a segurança para um modelo focado em riscos permite que os CISOs migrem da abordagem tímida e tacanha de fora para dentro para uma mentalidade sólida de dentro para fora que capacita a organização e entrega valor facilmente quantificáve. A Estrutura de riscos de TI da ISACA oferece um roteiro para chegar lá.

Notas Finais

¹ Nader, R.; Unsafe at Any Speed, Grossman Publishers, USA, 1965
² Palamara, P.; J. Oxley; J. Langford; C. Thompson; “Review of the Psychosocial and Behavioural Correlates of Adult Seat Belt Use,” 3 March 2012, http://c-marc.curtin.edu.au/local/docs/resources/Correlates%20of%20adult%20seat%20belt%20use.pdf
³ Federal Statistical Office, “National Seat Belt Law,” USA, 2013, www.euro.who.int/__data/assets/pdf_file/0013/301801/Germany-GSRRS-2015-en.pdf?ua=1
⁴ Automobile Federation and National Police Agency, “Seatbelt Usage Data,” USA, 13 July 2016, www.jaf.or.jp/eco-safety/safety/data/pdf/sb2015.pdf
⁵ US Department of Transportation, “Traffic Safety Facts—Seat Belt Use in 2016,” 31 January 2017, http://crashstats.nhtsa.dot.gov/Api/Public/ViewPublication/812351
⁶ Royal Society for the Prevention of Accidents, “Seatbelt History,” UK, http://www.rospa.com/rospaweb/docs/advice-services/road-safety/vehicles/seatbelt-history.pdf
⁷ Langfield, A.; “Hackers’ Latest Target: Loyalty Programs,” CNBC, 4 November 2014, http://www.cnbc.com/2014/11/04/hackers-latest-target-loyalty-programs.html
⁸ ISACA, “General Data Protection Regulation (GDPR) Readiness, Assessment and Compliance,” ar80.hwfj-art.com/info/gdpr/index.html
⁹ California Legislative Information, “Assembly Bill No. 375,” USA, 29 June 2018, http://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375