A sua organização Identifica e Avalia os Riscos Cibernéticos de forma estruturada com Metodologia e Critérios?
Antonio Celso Ribeiro Brasiliano, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris-Est (Marne La Vallée, Paris, França); presidente da
empresa Brasiliano INTERISK Gestão de Riscos. abrasiliano@brasiliano.com.br
Maio | 2020
O Software INTERISK possui a disciplina de Risco Cibernético com dois grandes diferenciais de mercado: Matriz de Relevância de Informações e Dados, e de Cenários de Ataques Cibernéticos.
No mundo cibernético, onde as mudanças e a incerteza são uma constante, cada vez mais a segurança cibernética passa a ser estratégica para os negócios de qualquer tipo de empresa. Deve estar integrada e alinhada aos objetivos de negócios da empresa. Hoje em dia é impossível pensar em trabalhar, seja qual for a função exercida por qualquer colaborador, sempre estará conectado em algum tipo de dispositivo. Em tempos de Pandemia COVID-19, onde as empresas foram obrigadas a se adaptarem rapidamente para o Home Office, pois foram impactadas pelo isolamento social, visando conter a contaminação em massa, criou-se um cenário que exigiu a proteção dos ativos mais valiosos da organização: fator humano e os dados. Muitas instituições e empresas não se preocuparam em fornecer segurança necessária para o trabalho remoto, a vulnerabilidade de ataques cibernéticos cresceu a níveis exponenciais nesta fase pandêmica. Por esta razão há necessidade da empresa não só possuir ferramentas de proteção cibernética, mas sim ter a clara noção do seu nível de exposição – fragilidade e de que forma podem acontecer os ataques – cenários.
Um terceiro quesito importante para compor o tripé da segurança cibernética é saber o que proteger, quais ativos a empresa possui de atrativo para que os hackers possam atacar. Este tripé, que denominamos o Triângulo da Segurança Cibernética é a chave do sucesso para as empresas. Ou seja, temos que conhecer, segundo os ensinamentos do General Chinês Sun Tzu nós mesmos através de identificarmos nossos riscos e conhecer profundamente o modus operandi dos nossos agressores. Inclui saber perfil dos hackers, sua forma de atuação. Como ele – hacker poderia atacar a nossa empresa. Temos que criar cenários de ataques cibernéticos.
Triângulo da Segurança Cibernética.
Fonte: Brasiliano INTERISK, 2018.
No sistema INTERISK no Módulo Gestão de Riscos Corporativos, temos a Disciplina Cibernética.
Tela do Software do INTERISK
Na disciplina Cibernética, tem um Framework que segue as melhores práticas de mercado e normas, entre elas: NIST – Framework de Cyber- Security, ABNT NBR ISO/IEC 27005: 2019 Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da informação; ABNT NBR ISO/IEC 27032: 2015 Tecnologia da Informação – Técnicas de Segurança – Diretrizes para Segurança Cibernética e ABNT NBR ISO/IEC 27701: 2019 Técnicas de Segurança – Extensão da ABNT NBR ISO/IEC 27001 e 27002 para gestão da privacidade da informação – Requisitos e Diretrizes, ABNT NBR ISO 31000: 2018 – Gestão de Riscos. Neste Framework vamos ressaltar neste artigo apenas o Triângulo da Segurança Cibernética.
1. Relevância dos Ativos de Informações e Dados: primeiramente a empresa deve identificar o que precisam proteger com maior ênfase, quais suas Joias da Coroa. Para facilitar, utilizamos a Matriz de Relevância de Ativos, que possui dois critérios de classificação:
- Impacto na empresa em caso de ser adulterada, sequestrada, roubada, sabotada, sob os aspectos da Imagem, financeiro, legal e operacional;
- Relevância quanto ao conteúdo no nível estratégico, tático e ou operacional.
Com estes dois critérios podemos cruzar as mensurações e temos como resultado a Matriz de Relevância. Por exemplo na empresa Brasuca, temos 24 informações/dados, assim classificados:
Relação da Criticidade das Informações e Dados.
Fonte: Book INTERISK.
O Resultado é a Matriz de Relevância das Informações e Dados:
Matriz de Relevância de Informações e Dados.
Fonte: Book INTERISK.
Com esta Matriz a empresa e o Gestor de Segurança Cibernética ficam cientes dos ativos que merecem maior investimento em segurança. Ou seja, a empresa não perde tempo no quesito “achismo”. O alinhamento dos ativos deve estar em consonância com os objetivos e estratégia da empresa, focando seu negócio para agregar valor.
A segunda perna do tripé da Segurança Cibernética é a identificação dos Riscos, que tem por base as fragilidades ou seus fatores de riscos e possíveis causas para potencializar a materialização dos riscos.
2 – Identificação dos Riscos Cibernéticos: inclui saber quais são os pontos fracos existentes nos sistemas implantados, nas políticas, na conscientização dos usuários e na atratividade dos ativos para um hacker, dependendo de seu perfil. Para isso primeiramente identificamos os fatores de riscos existentes nos ativos considerados relevantes, listando-os:
Fatores de Riscos. Fonte: Book INTERISK.
Identificados os fatores de riscos cibernéticos, o segundo passo é realizar uma listagem de riscos cibernéticos possíveis, frente a fotografia que possui. Neste caso temos que usar toda a imaginação. Segue abaixo um exemplo:
Listagem dos Riscos Cibernéticos. Fonte: Book INTERISK.
O terceiro passo é associar o risco com os fatores de riscos cibernéticos, com o objetivo de estruturar cada risco cibernético com suas causas. Utilizamos para isso o diagrama de causa e efeito, elaborado especificamente para a área cibernética. Abaixo alguns exemplos:
Diagrama de Causa e Efeito. Fonte: Book INTERISK.
Após ter feito as associações, podemos enxergar quais dos fatores de riscos existentes nos riscos são os mais motrizes, ou seja, os que possuem maior influência para fazer os riscos cibernéticos materializarem. Utilizamos a Matriz SWOT e uma pontuação com dois critérios: Importância e Magnitude. O resultado é a Matriz em três níveis que ressalta os Fatores de Riscos Cibernéticos.
Matriz de Motricidade dos Fatores de Riscos Cibernéticos . Fonte: Book INTERISK.
Dos 17 Fatores de riscos cibernéticos existentes, temos 13 considerados motrizes.
O quarto passo para sabermos o nosso Nível de Exposição é realizar a Análise de Riscos Cibernéticos, levando-se em consideração a motricidade dos fatores de riscos, a condição atual e o passado. Prospectamos a probabilidade, chance de ocorrência e o impacto, com os quatro quesitos (imagem, financeiro, legal e operacional). Fazemos duas avaliações de riscos: uma inerente, sem levar em consideração os sistemas e controles existentes e a outra levando em consideração os controles, que denominado de Risco Residual. O resultado é a Matriz de Riscos.
Matriz de Riscos Cibernéticos Residuais. Fonte: Book INTERISK.
A terceira perna do triângulo da Segurança Cibernética, no nosso ponto de vista, é o mais estratégico, pois vamos ter que realizar um estudo prospectivo, para saber quem poderá ser o agressor, seu perfil, seu modus operandi e realizar uma estimativa de Probabilidade e Impacto. Neste caso os Cenários de Ataques Cibernéticos devem ser compostos com os próprios riscos cibernéticos identificados. Os riscos cibernéticos serão fatores de riscos dos respectivos Cenários. E a relevância deve ser coerente com a criticidade dos riscos cibernéticos. Para o caso da empresa Brasuca, elaboramos 4 Cenários Cibernéticos.
Demos nomes para cada Cenário, e descrevemos o que poderá acontecer em cada um deles. O próximo passo descrevo como que o cenário pode vir a acontecer, de acordo com a aposta que fazemos com o perfil do hacker escolhido, em função da atratividade e do ganho financeiro.
Descrição de como os Cenários de Ataques Cibernéticos podem ser materializados.
Fonte: Book INTERISK.
O último passo é fazer a análise de risco de cada Cenário Cibernético de Ataque, que fazemos com base na criticidade dos Riscos. Utilizamos a média das Probabilidades e Impactos dos riscos que compõem os respectivos Cenários e temos sua criticidade. O resultado é a Matriz de Cenários de Ataques Cibernéticos.
Análise de Riscos dos Cenários de Ataques Cibernéticos, através das
médias de Probabilidades e Impactos. Fonte: Book INTERISK.
Matriz dos Cenários de Ataques Cibernéticos, através das
médias de Probabilidades e Impactos. Fonte: Book INTERISK.
O Triângulo da Segurança Cibernética, é um diferencial de mercado, que pratica somente a análise de riscos cibernéticos. A análise de riscos por si só, limita a visão do gestor, fazendo com que não enxergue o todo, não tenha uma visão panorâmica de todo o contexto. O risco analisado segregado não agrega valor, pois faz com que a empresa faça um voo cego. Por esta razão é que os hackers têm tido muito sucesso em seus ataques, pois focam nas fraquezas existentes, que são os riscos isolados cobertos.
A grande vantagem de construir cenários cibernéticos de ataque é formular estratégia de ataques, e, ao mesmo tempo saber como fechar a brecha, saber se defender. Só assim, pensando como um hacker, que iremos conseguir mitigar suas incursões em nossos sistemas cibernéticos.
Caso queria conhecer o Software INTERISK, entre em contato e solicite uma demonstração!