IBGC Comunica

EFICÁCIA NA GESTÃO DE RISCOS CIBERNÉTICOS COMO CRIAÇÃO DE VALOR por Luciana Bacci

Todas as empresas, privadas ou públicas, são constituídas por dois objetivos principais: explorar uma atividade econômica ou prestar um serviço e garantir que o retorno de seus investimentos atinja uma expectativa mínima de ganho de seus proprietários de capital. Se não cumprir a condição de rentabilidade, a empresa destruirá valor.

Para que esta condição seja atendida, as empresas devem definir sua estratégia, monitorar seu cumprimento e readequá-la à luz das ameaças, oportunidades, fraquezas e fortalezas. No mundo digital, com a indústria 4.0 e a corrida por inovação, os stakeholders, o conselho de administração, os investidores e executivos reconhecem as ameaças e os perigos que o risco cibernético representa para seus negócios. À medida que ações de hackers, ataques cibernéticos e vazamentos de dados proliferam em todos os setores, adotar uma abordagem holística em relação à segurança cibernética se tornou uma prioridade na agenda dos conselhos.

Onde estão os principais desafios na eficácia da gestão de riscos cibernéticos como criação de valor para as empresas? Há uma série de aspectos sobre os quais podemos discorrer, mas há três que julgo mais relevantes:

1) Definição de uma linguagem comum e clara das terminologias que circundam o risco cibernético
No livro Mensurando e Gerenciando o Risco de Informação, Jack Freund e Jack Jones (criadores da metodologia FAIR – Factor Analysis of Information Risk) apresentam definições que vêm ganhando visibilidade e credibilidade. Eles definem risco como “a probabilidade da frequência e probabilidade da magnitude de uma perda futura”; ameaça, como “alguma coisa (objeto, substância, pessoas e etc.) capaz de agir de maneira que possa resultar em danos e vulnerabilidade, comumente referido como uma fraqueza que pode ser explorada por uma ameaça.

Já o risco de segurança da informação segundo a norma técnica ISO 27.000, Tecnologia da Informação-Técnicas de Segurança, pode ser definido como o efeito da incerteza nos objetivos da segurança da informação (confidencialidade, integridade e disponibilidade da informação) e está associado ao potencial de que as ameaças explorem as vulnerabilidades de um ativo ou grupo de informações e, portanto, causem danos a uma organização.

Em geral, existem diversos entendimentos do que é risco, ameaça ou vulnerabilidade. A ação de um hacker é uma ameaça, vulnerabilidade ou risco? Na definição dos autores citados, o ataque de um hacker à rede de uma empresa usando um software malicioso ou roubo de identidade é uma ameaça, e não um risco. Será considerado risco quando efetivamente causar danos ou perdas, seja por deixar a rede inoperante durante um período ou extrair, deletar e/ou modificar informações dos sistemas.

2) Definição de uma abordagem quantitativa para a avaliação do risco cibernético com acurácia
Em reuniões de liderança, comitês e conselhos são comuns as questões: quanto temos de risco? Se investirmos alguns milhões, qual será o nosso risco? Responder estas perguntas não é tarefa fácil, visto que existem infinitas abordagens de avaliação de risco e o maior desafio é garantir a sua efetividade. Neste quesito cabe avaliar a abordagem selecionada em relação a três aspectos: Ela é útil? É prática? Os resultados são defensáveis?

Uma abordagem de análise de risco somente será útil se os resultados forem acurados e significantes para os tomadores de decisão. Resultados expressos em bases qualitativas correm o risco de serem questionados e até rejeitados no momento de justificar a avaliação para obter o investimento necessário. Se a análise não for acurada o suficiente para demonstrar o nível de criticidade do risco, provavelmente o investimento não será priorizado.

Uma maneira simples para identificar se uma abordagem de avaliação de riscos é acurada é observar se as seguintes características estão inseridas na avaliação de riscos: análise da frequência da ameaça, vulnerabilidade, magnitude da perda e se a análise trata o problema de maneira probabilística.

3) Informações gerenciais sobre o nível de exposição ao risco cibernético para a tomada de decisão
Dashboards de indicadores de performance de segurança da informação, como total de vulnerabilidades de aplicações e servidores, número de empregados que realizaram os treinamentos de segurança da informação, dentre outros, são informações que não agregam valor e tampouco propiciam aos executivos auferir o nível de exposição ao risco cibernético. Portanto não possibilitam tomar decisões sobre as contramedidas necessárias. Essas lacunas de informações fazem com que os gestores apliquem um conjunto padrão de controles a todos os ativos da empresa. Isso pode fazer com que ativos de baixa prioridade sejam superprotegidos, enquanto ativos críticos ficam expostos.

Muitas empresas se baseiam em relatórios que são uma verdadeira colcha de retalhos para gerenciar os riscos. Como carecem de informações necessárias sobre os níveis de riscos cibernéticos, a eficácia das contramedidas e o status da proteção dos principais ativos, os executivos não conseguem avaliar o retorno de seus investimentos em segurança e acabam questionando as ferramentas de gerenciamento de riscos cibernéticos por considerá-las complexas e incompreensíveis.

Programas eficazes de segurança cibernética começam com o tom certo no topo, com líderes seniores comprometidos em melhorar a abordagem cibernética de suas organizações e trabalhando com outras pessoas para entender, priorizar, comunicar e mitigar os riscos de segurança. Estes programas somente serão efetivos se considerarem uma linguagem adequada, avaliação mensurável do nível de exposição ao risco cibernético e as informações gerenciais necessárias para a tomada de decisão.

Luciana Bacci
é coordenadora da Comissão de Gerenciamento de Riscos Corporativos do IBGC e integrante do grupo de trabalho autor da publicação: Papéis e responsabilidades do conselho na gestão de riscos cibernéticos.
comunicacao@ibgc.org.br