A gestão de riscos em TI envolve políticas, procedimentos e ferramentas para identificar e avaliar ameaças e vulnerabilidades potenciais na infraestrutura de TI.
Definição de gestão de riscos em TI
O risco de TI denota a probabilidade de um resultado comercial adverso e inesperado quando uma ameaça específica ou um ator mal-intencionado explora uma vulnerabilidade do sistema de informação. Pode variar desde erro humano e falha de equipamento até ataques cibernéticos e desastres naturais.
Portanto, a gestão de riscos em TI é a aplicação de métodos de gerenciamento de riscos para gerenciar ameaças de TI. A gestão de riscos em TI envolve procedimentos, políticas e ferramentas para identificar e avaliar ameaças e vulnerabilidades potenciais na infraestrutura de TI.
Como funciona a gestão de riscos em TI?
Ao apresentar os resultados de uma auditoria de segurança ao conselho de uma empresa de saúde de médio porte, o testador líder de penetração de uma empresa terceirizada de auditoria de segurança teve uma surpresa desagradável. Depois de fornecer documentação mostrando todas as informações potencialmente confidenciais que estavam disponíveis publicamente, um dos membros do conselho revelou que a organização havia contratado uma segunda equipe de auditoria e que seu relatório listava recursos adicionais que a primeira equipe de auditoria não tinha. A primeira equipe foi dispensada imediatamente.
A moral desta história não é necessariamente que as pessoas cometem erros ou que uma das equipes foi melhor que a outra. A mensagem importante é que as organizações estão agora a levar muito a sério a gestão de riscos em TI. Às vezes, as organizações agem de formas úteis e racionais que aumentam a maturidade e a resiliência. Em outros casos, as organizações que carecem de comunicação e processos adequados fazem julgamentos precipitados e tiram conclusões precipitadas.
Gerenciamento de riscos é um termo que as equipes de TI e de segurança empregam todos os dias, quer percebam ou não. É o processo consistente de identificar, analisar, avaliar e tratar as exposições a perdas, ao mesmo tempo que observa o controle de risco e os recursos nos esforços para mitigar os efeitos adversos das perdas. Muitas vezes, é uma prática também empregada nos departamentos de TI, mas usada em sistemas, redes e dispositivos empresariais para mitigar possíveis ameaças cibernéticas.
Quando os profissionais de segurança hoje usam o termo Governança, Gestão de Riscos e Conformidade, eles estão se referindo às suas atividades diárias. É vital amadurecer continuamente as práticas de gestão de riscos; caso contrário, as tecnologias que utilizamos tornar-se-ão nada mais do que a “Internet das ameaças”.
O que é avaliação de risco em segurança de TI?
A avaliação de riscos facilita a identificação, classificação, priorização e mitigação de diversas ameaças à tecnologia da informação. Pode ajudar as organizações a examinar se os seus controlos de segurança existentes são adequados para enfrentar as consequências de potenciais ameaças ou vulnerabilidades na sua infraestrutura de TI. A formulação de uma metodologia de avaliação de riscos robusta e transparente é fundamental antes de iniciar a avaliação de riscos. Você pode personalizá-lo com base nos requisitos legais, regulatórios e contratuais da sua empresa.
Abaixo estão descritas as principais atividades de avaliação de riscos de TI:
- Identifique ativos valiosos: primeiro, compile uma lista de todos os ativos críticos para os negócios que você investigará em busca de possíveis vulnerabilidades. Examinar todos os fluxos de hardware, software e informações em uma organização não é praticamente viável. Portanto, você deve priorizar e classificar os ativos com base em padrões predefinidos, como estatuto jurídico e importância comercial. Além disso, você deve incorporar esses padrões de classificação em sua política de gerenciamento de riscos de informações para economizar um tempo valioso durante a avaliação.
- Avalie ameaças e vulnerabilidades: Determine as ameaças e vulnerabilidades capazes de comprometer a disponibilidade, integridade e confidencialidade dos seus ativos de informação. Os perigos comuns relacionados com a TI incluem intervenientes internos maliciosos e desastres naturais. Simultaneamente, investigue vulnerabilidades como equipamentos antigos, configurações incorretas e sistemas não corrigidos em sua organização, pois os invasores podem se infiltrar em uma rede explorando essas vulnerabilidades.
- Avalie e priorize os riscos: Nesta fase, compare, priorize e classifique os riscos, determinando a sua possibilidade de ocorrência e o seu subsequente impacto nos seus sistemas de informação. Classifique os riscos como altos, médios ou baixos com base nas pontuações atribuídas a eles. Além disso, empregue ferramentas automatizadas de avaliação e gerenciamento de riscos de segurança cibernética para análise precisa de riscos e identificação de eventos de segurança que requerem atenção imediata.
A complexidade da gestão de riscos hoje
Com o cenário de ameaças cibernéticas em constante evolução, as organizações precisam ser mais diligentes do que nunca para minimizar os riscos e, ao mesmo tempo, se adaptar aos novos desafios. A pandemia da COVID-19 apenas acelerou esta tendência. A maioria das empresas mudou rapidamente de equipes principalmente locais para ambientes de força de trabalho remotos ou híbridos. Esta mudança criou novos desafios para os trabalhadores de TI e segurança cibernética. Mudou a superfície de ataque existente. Como resultado, é necessário que as organizações em todo o mundo reavaliem a forma como gerem os riscos hoje.
Num caso, uma instituição financeira percebeu que tinha um problema de malware. Eles aprovaram o treinamento de segurança não apenas para analistas de segurança e administradores de servidores, mas também para funcionários de suporte técnico. Após esse treinamento, a organização observou uma redução drástica nos incidentes baseados em malware.
Todos os profissionais de TI precisam possuir habilidades de gerenciamento de riscos. O gerenciamento de riscos é uma consideração principal para a maioria das funções de TI, incluindo profissionais de suporte técnico, administradores de rede, analistas de segurança e pen testers. Arquitetos de segurança, analistas de conformidade e muitos outros passam a maior parte do tempo ajudando as organizações a gerenciar riscos. O gerenciamento adequado de riscos entre as equipes de TI das organizações pode reduzir e prevenir a ocorrência de violações e ataques de segurança cibernética.
Este guia irá guiá-lo pelos fundamentos do gerenciamento de riscos de TI, seus tipos, por que é tão importante, como ele se interliga com a conformidade de segurança cibernética, as melhores práticas e como construir e implementar um plano de gerenciamento de riscos em seu departamento de TI.
Como as empresas abordam a gestão de riscos em TI?
A maior parte de todo o gerenciamento de riscos, incluindo a gestão de riscos em TI, se enquadra nas melhores práticas representadas pelo termo Governança, Risco e Conformidade (GRC). O GRC envolve regularmente mais do que simplesmente escolher uma estrutura ou conduzir um único exercício de gestão de riscos. A prática aceita de GRC exige a integração e o ensaio de táticas práticas de gestão de risco e suas iniciativas. A implementação de uma estratégia de gestão de risco implica criar, implementar e medir a eficácia de procedimentos e processos. Também envolve considerar como sua organização identifica e lida com riscos e expectativas legais. Essas expectativas podem incluir recursos financeiros, tecnológicos e humanos, além de riscos industriais ou regulamentações federais.
Num caso, um policial britânico aposentado tornou-se oficial do GRC. Este indivíduo em particular nunca se considerou particularmente técnico. Mas ele era muito bom em obter e avaliar informações. Além disso, esse indivíduo também era muito bom em identificar inconsistências e possíveis causas raízes de problemas. As organizações valorizam indivíduos que podem fazer mais do que consultar uma lista de regras; eles precisam de pessoas que possam identificar problemas e propor soluções.
Muitas equipes de compliance, governança e gestão de riscos empresariais abordam a gestão de riscos com o objetivo de seguir uma fórmula que se concentra em um processo de cinco etapas. Este processo se concentra na avaliação de riscos e nas metas de mitigação para atingir a conformidade ideal. Inclui também a identificação dos riscos, a realização de atividades de análise ou avaliação de riscos, a sua priorização, a resposta ao risco e a monitorização do seu potencial de ameaça.
Problemas comuns de gerenciamento de riscos
Embora este processo comum de cinco etapas possa ajudar a garantir a conformidade, a forma como as equipes abordam o gerenciamento de riscos do ponto de vista comercial nem sempre se traduz na mesma metodologia de abordagem da gestão de riscos em TI para segurança cibernética. Muitas vezes, esse é um problema comum nas empresas ao abordar o risco comercial versus o risco de segurança cibernética.
A segurança cibernética muitas vezes exige que os profissionais e líderes de TI analisem as causas profundas do aumento do gerenciamento de riscos de TI. Abaixo estão algumas das causas comuns de problemas da gestão de riscos em TI.
Mitigar ou prevenir riscos
Depois de priorizar os riscos, você pode abordá-los usando os seguintes métodos:
A prevenção de riscos é a abordagem mais direta e exige que as organizações evitem atividades que possam representar riscos legais, financeiros, de reputação e operacionais. Por exemplo, você pode evitar o risco de penalidades regulatórias aderindo a todas as regulamentações de segurança de dados em sua região.
- A modificação de riscos permite que as organizações diminuam o impacto adverso de riscos inevitáveis, estabelecendo controles físicos, técnicos e operacionais robustos. Controles físicos, como scanners de segurança biométricos, podem ajudar as organizações a proteger seus ativos tangíveis. Da mesma forma, os controles técnicos envolvem a utilização de software antivírus, firewalls e ferramentas de gerenciamento de acesso para evitar incidentes de segurança. Por último, os controlos operacionais incluem políticas e procedimentos de segurança robustos para o bom funcionamento dos negócios.
- A transferência de riscos permite que as organizações mitiguem as consequências do risco, transferindo-o ou compartilhando-o com terceiros. Os fornecedores de nuvem, por exemplo, reduzem o risco de interrupção dos negócios para seus clientes, fornecendo backups de dados externos.
- A aceitação do risco diz que erradicar ou transferir todos os riscos é praticamente impossível, pelo que uma organização deve aceitar ameaças específicas como parte do seu processo global de gestão de riscos de segurança. Por exemplo, as redes organizacionais apresentam riscos inerentes – como interrupções inesperadas – mas as empresas ainda dependem delas para comunicação ou troca de informações.
- Documente, audite e revise: Por último, prepare um relatório detalhado de avaliação de risco para fins de auditoria e conformidade. Esses relatórios devem descrever todas as possíveis ameaças e riscos, vulnerabilidades e possibilidades de ocorrência associadas. As medidas de controlo de riscos e os seus procedimentos de implementação também devem fazer parte do relatório. Estas medidas de controle devem ser sugeridas com base no nível de risco. Revise e atualize continuamente esses relatórios para melhorar a eficácia da sua estrutura de gerenciamento de riscos de TI.
Soluções de TI de terceiros (soluções Shadow IT)
As organizações estão cada vez mais migrando para soluções de tecnologia de origem independentes do departamento de TI. Quer seja pela eficiência de custos ou para aumentar os recursos, as empresas estão a utilizar mais soluções de TI de terceiros para essencialmente acompanharem a sua TI. Proteger a TI de soluções de terceiros pode ajudar um departamento a encontrar uma solução técnica imediatamente.
Embora as soluções de TI de terceiros possam ser benéficas, elas também podem ser prejudiciais para uma organização. Em um caso recente, um departamento de pesquisa criou um data lake usando uma empresa popular de nuvem para ajudar a concluir um projeto. O problema derivou do facto de ninguém fora do departamento de investigação saber que este recurso estava a ser utilizado nem existia. Isso fez com que a empresa de nuvem terceirizada não fosse configurada corretamente e um invasor conseguisse explorar toda a organização explorando uma configuração incorreta de segurança no data lake. O gerenciamento adequado de riscos de TI instila processos que exigem que todas as tecnologias, incluindo tecnologias de terceiros, sejam identificadas dentro de uma organização.
Imaturidade dos processos
A segurança envolve mais do que apenas ameaças externas e ameaças internas. Envolve também os processos e as pessoas usados para criar soluções técnicas. Os trabalhadores de segurança são frequentemente encarregados de mitigar incidentes, em vez de garantir que os processos em vigor protejam a empresa contra riscos.
Dívida técnica
Dívida técnica é o que acontece quando um dispositivo ou software é criado e uma pessoa ou organização decide conscientemente (ou mesmo inconscientemente) pular certas etapas ou usar um conjunto antigo de recursos por necessidade. No gerenciamento de riscos de TI, a dívida técnica pode assumir muitas formas, incluindo pular etapas, processos e testes críticos de gerenciamento de riscos. Frequentemente, as equipes que recorrem a práticas técnicas de dívida o fazem devido a restrições de tempo ou custo. As equipes de TI antecipam que a dívida será paga no futuro, pulando etapas.
Falta de comunicação
A falta de comunicação entre a TI e a liderança costuma ser um problema comum de gerenciamento de riscos. A gestão adequada dos riscos depende da maturidade do processo, o que só pode ocorrer quando os líderes organizacionais comunicam adequadamente sobre os riscos. Veja o exemplo de um executivo de segurança de nível C em um grande varejista dos EUA. No seu trabalho anterior, ele descobriu que a comunicação era aceitável, mas não ideal. Ele sentiu que não era capaz de discutir processos e precisava de mudanças tão livremente quanto desejava. Então, ele passou do gerenciamento de segurança em uma empresa de tecnologia para uma organização de varejo. A principal razão pela qual ele aceitou esse novo emprego foi porque viu o potencial para uma comunicação forte com seus colegas de trabalho.
Anos mais tarde, após um sucesso considerável na gestão de riscos, ele descobriu que seu trabalho era muito mais fácil porque teve a oportunidade de entender exatamente como as pessoas daquela organização se comunicavam. Seu estilo combinava com o deles. Como resultado, ele foi capaz de criar metas relevantes de avaliação e mitigação de riscos. Foi então, e só então, que seu profundo conhecimento de como usar os times vermelho e azul se tornou verdadeiramente útil. A comunicação, portanto, ajuda as organizações a garantir que as medidas técnicas sejam utilizadas de forma adequada, de acordo com necessidades e objetivos claramente definidos. Essa comunicação é possibilitada pela gestão.
Mas monitorizar adequadamente os riscos significa fazer mais do que comunicar regularmente com a gestão. Os executivos e as equipes do centro de operações de segurança (SOC) precisam entender os processos implementados na TI e como eles funcionam para gerenciar riscos.
Se as equipes não se comunicarem de forma eficaz entre si, isso poderá criar uma falsa sensação de segurança e, portanto, criar o potencial para maiores riscos. Sim, sempre existem abordagens automatizadas, como Desarme e Reconstrução de Conteúdo (CDR), que é um conjunto de tecnologias que ajuda a remover códigos e dados suspeitos à medida que eles entram e saem da rede de uma organização. Porém, nenhum elemento técnico, incluindo análise SOC ou automação, pode funcionar bem a menos que você tenha uma comunicação adequada. É isso que diferencia as organizações maduras das organizações menos maduras.
Por que o gerenciamento de riscos de TI é importante?
Devido aos fatores listados acima, as organizações têm ignorado largamente as abordagens baseadas em GRC nas suas práticas de gestão de riscos. Embora possa não ser intencional, eles permitem que sua tecnologia ou necessidades imediatas atrapalhem o gerenciamento adequado dos riscos. O resultado é o aumento de ameaças e ataques cibernéticos. Os ataques de engenharia social, DDoS, phishing e malware tornaram-se mais comuns e destrutivos devido à falta de gestão de riscos em TI.
As organizações gastaram bilhões em todo o mundo em soluções tecnológicas para ajudar no seu risco. As empresas estão cientes das várias ameaças que enfrentam. No entanto, muitas organizações não amadureceram os seus processos para reduzir melhor os riscos. Em vez de se concentrarem numa abordagem que prioriza a tecnologia, as organizações devem primeiro concentrar-se numa mentalidade baseada em GRC para melhorar a sua postura de segurança.
Tanto os executivos organizacionais como os líderes de TI parecem estar conscientes de que efetivamente colocaram a carroça tecnológica na frente dos bois, por assim dizer. Eles sabem que o gerenciamento adequado de riscos pode reduzir e prevenir a ocorrência de violações e ataques de segurança cibernética. No entanto, a maioria das organizações parece não conseguir descobrir como mudar os seus hábitos.
Em 2021, a Ernst & Young realizou uma pesquisa global de risco do conselho e descobriu que 57% dos líderes de risco indicaram que as suas equipas são apenas moderadamente eficazes no alinhamento do risco e da estratégia de negócio. A questão é que os gestores de risco muitas vezes não estão alinhados com o conselho de administração e os CEO no que diz respeito às maiores oportunidades estratégicas dos seus negócios, bem como às vulnerabilidades técnicas associadas. Muitas organizações frequentemente evitam discutir o problema e, em vez disso, concentram-se em soluções rápidas de segurança. Os líderes costumam dizer às equipes de TI e segurança para comprarem segurança para corrigir o problema ou apenas “consertar o sistema ou aplicativo”. Muitas vezes não investem na atualização de sistemas e processos para simplificar a conformidade, a segurança e a confiança na gestão de riscos.
Muitas empresas não estavam preparadas para se tornarem totalmente remotas em 2020 e foram forçadas a modificar rapidamente o seu estatuto de segurança de TI e práticas de gestão de riscos. Respectivamente, aproximadamente 58% dos gestores de risco responderam a um inquérito do Risk Management Institute afirmando que a sua organização não tinha considerado um nível de risco semelhante ao de uma pandemia. Estas organizações não são avessas ao risco, mas têm aversão a discutir o risco de uma forma significativa e prática.
Como o gerenciamento de riscos de TI implica conformidade em segurança cibernética?
As organizações são cada vez mais forçadas a cumprir as normas por motivos legais. Surgiram leis em todo o mundo destinadas a ajudar a gerir questões de privacidade e roubo cibernético que afetam a vida das pessoas e os negócios globais. A conformidade de TI é melhor definida como as ações ou fatos de conformidade com uma regulamentação para reduzir riscos em uma organização. Muitas vezes, as equipes são obrigadas a manter a conformidade com a segurança cibernética em suas empresas, dadas as atividades digitais mais necessárias para manter suas operações diárias. Estas regulamentações são frequentemente diretrizes de alto nível criadas para indústrias específicas para resolver problemas específicos que podem enfrentar com risco.
Aqui estão alguns exemplos reais de regulamentações que podem impactar os profissionais de TI:
- A indústria financeira global utiliza números de cartão de crédito, e esses números devem ser criptografados para evitar roubo, por isso o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) foi criado para proteger essas informações de identificação pessoal (PII).
- O setor de saúde utiliza informações de saúde do paciente (PHI), que podem incluir PII não públicas, que devem ser transmitidas com segurança aos consultórios médicos e seguradoras. Portanto, os Estados Unidos criaram a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) para proteger pacientes e prestadores de serviços contra roubo de dados pessoais e de identidade.
- Os governos federais também trabalham nos esforços de segurança nacional e inteligência para combater o terrorismo. Em resposta a essa necessidade, os Estados Unidos criaram a Lei Federal de Gestão de Segurança da Informação (FISMA) para garantir que todas as agências protejam os seus dados em conformidade.
Além disso, algumas das leis de privacidade mais recentes, como o Regulamento Geral de Proteção de Dados (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA), garantem que os dados do cliente sejam protegidos e armazenados localmente para o consumidor. Isso significa que se for uma empresa sediada nos EUA e tiver clientes na Europa, deverá garantir que os dados dos clientes são armazenados na Europa e sujeitos às leis europeias, mesmo que a sua empresa esteja nos Estados Unidos.
Com mudanças legislativas regulares nas regulamentações cibernéticas, de privacidade e de dados, as equipes de TI devem trabalhar ativamente para garantir o cumprimento do número crescente de regulamentações. Muitos profissionais e líderes de TI entendem que o gerenciamento de riscos faz parte da conformidade e que, quando os processos são bem executados, uma postura madura de gerenciamento de riscos muitas vezes leva naturalmente a governança e conformidade adequadas.
Usando conformidade para operações maduras
É importante compreender, no entanto, que a conformidade em si é apenas uma meia medida. Uma abordagem excessivamente simplificada à conformidade pode levar a uma mentalidade de verificação de caixas. O resultado é que uma organização pode se deixar levar por uma falsa sensação de segurança. Se considerarmos os principais incidentes de segurança que foram tornados públicos nos últimos dez anos, descobriremos que a maioria das organizações que foram atacadas cumpriram a letra da lei no que diz respeito à privacidade e segurança. O verdadeiro objetivo da conformidade e do GRC é melhorar e amadurecer continuamente os processos, e não simplesmente seguir uma lista de verificação.
Controles de conformidade regulatória para TI
Os executivos de negócios muitas vezes não estão acostumados a discutir e analisar riscos em termos técnicos. A maioria dos executivos experientes entende como gerenciar riscos de maneira eficaz em suas organizações. O gerenciamento e os profissionais de TI geralmente entendem os elementos técnicos do gerenciamento de riscos. No entanto, tendem a discutir estes elementos em termos técnicos e não em termos comerciais. Como resultado, executivos e profissionais de TI tendem a falar uns com os outros e a discordar uns dos outros. A razão para isso é que eles não dedicam tempo para traduzir termos e ideias entre si para se comunicarem de forma mais eficaz.
Os líderes empresariais e profissionais de segurança cibernética devem compreender perfeitamente que as regulamentações governamentais costumam ser do melhor interesse para proteger as PII e os dados da empresa contra invasores mal-intencionados. Dentro dessas leis, existem controlos de segurança específicos, separação de funções e objetivos operacionais que devem ser cumpridos para garantir a conformidade legal e regulamentar. Essas regulamentações geralmente determinam a conformidade de segurança de alto nível para a maioria das empresas atuais, mesmo que as regulamentações específicas variem de acordo com o setor.
Gerenciamento de segurança cibernética e controles operacionais
Os profissionais de segurança discutem o conceito de separação de funções há décadas. Em 2010, a maioria das organizações ainda reunia os seus profissionais de TI e segurança numa só equipa. A maioria das equipes de operações e gerenciamento de segurança cibernética foram criadas após os históricos ataques de segurança cibernética de 2013-2014 à Target, à Sony e a outras grandes organizações que impactaram empresas e indivíduos.
Em 2015, as equipes de infraestrutura e segurança cibernética foram separadas. Isso ocorre porque a indústria percebeu que precisava se concentrar em dois objetivos principais: monitoramento contínuo da segurança juntamente com avaliação de vulnerabilidades e gerenciamento focado no resultado principal de minimizar riscos e evitar possíveis ataques.
Desde 2020, vimos uma separação ainda maior. Hoje, as organizações em todo o mundo tendem a concentrar-se em três responsabilidades principais:
- Infraestrutura: Prestação do serviço
- Operações de segurança cibernética: protegendo o serviço
- Gestão da segurança cibernética: Fornecendo governança, gestão de riscos e conformidade
Para atingir esses objetivos, as organizações construíram instalações SOC novas e separadas para monitorar a segurança e fornecer métricas. Essas métricas são projetadas para ajudar as organizações a se tornarem mais maduras, alterando seus processos. Os profissionais de segurança usam ferramentas de software, como sistemas de gerenciamento de eventos e informações de segurança (SIEM), para ajudá-los a se engajar no monitoramento contínuo. As organizações adicionaram trabalhadores de avaliação e gerenciamento de vulnerabilidades (além do software) para ajudar a testar sistemas e realizar testes de penetração. Combinadas com análises de segurança, essas etapas ajudam a amadurecer processos e tornar as organizações mais resilientes a ataques.
Controles de segurança empresarial em comparação com metas regulatórias
Os controles de segurança são tarefas amplas que devem ser implementadas, como fazer backup de sistemas de informação ou criptografar dados. A maioria dos controles de segurança dentro das organizações inclui a garantia de políticas e procedimentos adequados de controle de acesso, aplicação de acesso, separação de funções e permissões com privilégios mínimos. Esses controles também podem incluir testes de penetração e outras atividades de monitoramento do sistema.
Dentro de uma maior conformidade regulatória, existem especificações desses controles dependendo da lei e do setor em que se aplicam. Por exemplo, PCI DSS tem mais de 50 controles de segurança, HIPAA tem mais de 100 e FISMA/NIST tem mais de 1.000.
É importante observar que uma regulamentação legal específica pode ser aplicada a vários setores. Por exemplo, legislação como a HIPAA foi concebida para proteger os dados dos pacientes e dos prestadores, mas pode abranger mais do que cuidados de saúde, uma vez que também se aplica às práticas de RH nas empresas.
A publicação especial 800-53 do NIST descreve controles de segurança comuns usados por indústrias em todo o mundo. Quanto mais controlos de segurança cibernética, mais difícil será a implementação da regulamentação se a gestão de riscos em TI se concentrar exclusivamente na conformidade versus maturidade dos riscos de TI. Os controlos e processos de segurança, quando realizados de forma eficaz, são fundamentais para garantir que as economias globais funcionam de forma segura e que as empresas continuam a prestar serviços, a manter os nossos sistemas médicos e a proteger a nossa segurança nacional.
Separação de funções: segurança cibernética versus infraestrutura de TI
Os departamentos de TI estão se dividindo em dois grupos para acomodar o aumento das regulamentações. A segurança cibernética é tratada separadamente da equipe tradicional de infraestrutura de TI devido à separação dos requisitos de tarefas em quase todas as regulamentações. A equipe de segurança cibernética trabalha em um SOC separado.
Embora sejam equipes separadas, as equipes de segurança cibernética e de infraestrutura de TI trabalham juntas para garantir que a organização permaneça dentro da conformidade regulatória. Parte dessa separação de funções inclui a necessidade da equipe de segurança cibernética de identificar e avaliar riscos para cumprir os regulamentos. Essa tarefa é então atribuída à equipe de infraestrutura de TI para concluí-la.
À medida que as organizações crescem em tamanho e em conformidade regulatória exigida, elas precisam separar a segurança cibernética da infraestrutura de TI para garantir melhores verificações e equilíbrios de controle de segurança. Isso também garante que os controles de segurança sejam implementados, auditados e reportados à agência reguladora correta.
As equipes de segurança cibernética continuarão a se separar das equipes tradicionais de infraestrutura de TI para garantir a separação dos requisitos de tarefas em quase todas as regulamentações. Em alguns casos, as organizações têm suas equipes de segurança subordinadas a um executivo completamente diferente do departamento de TI. Noutros casos, garantir um nível adequado de comunicação e separação de funções atinge o mesmo resultado. A questão é que nenhuma entidade ou indivíduo deve ser autorizado a fornecer e depois garantir um serviço; em muitos casos, a segurança e a maturidade serão prejudicadas.
Por exemplo, uma instituição financeira na Austrália já teve o departamento de TI e o departamento de segurança reportando através do mesmo indivíduo. Como resultado de uma comunicação deficiente, o administrador de email criou um possível problema de segurança ao ignorar as verificações de segurança do endpoint no serviço de email.
Ela também conseguiu contornar o firewall, que atuava como um gargalo no tráfego, porque não tinha potência suficiente. Como resultado, os pen testers conseguiram obter controle total sobre o servidor de e-mail. A solução foi relativamente fácil: o CIO percebeu que precisava resolver um problema de comunicação e de processo, em vez de um mero problema técnico. Ela garantiu que a equipe de TI se coordenasse adequadamente com a equipe de segurança ao resolver problemas de desempenho no futuro.
Passando da conformidade para a maturidade
A principal função de supervisão regulatória é geralmente desempenhada pelo diretor de segurança da informação (CISO), que é o responsável final pela conformidade regulatória da organização. O CISO também trabalha com o conselho de administração e a equipe de segurança cibernética para atender aos requisitos de conformidade regulatória. Mesmo que uma organização não tenha um CISO nomeado, a questão é que a função do CISO seja cumprida. A gestão executiva é sempre responsável por gerenciar os riscos de forma estratégica. Cabe aos CISOs e CIOs garantir que a organização siga os processos de gestão de riscos de forma adequada.
As equipes de gerenciamento de segurança cibernética impõem a conformidade regulatória por meio de supervisão, auditoria e gerenciamento. Eles também trabalham em estreita colaboração com as equipes de operações de segurança cibernética e de infraestrutura de TI para garantir que as medidas de conformidade realmente ajudem as organizações a repensar e transformar os processos existentes. Ao fazer isso, as auditorias internas de TI e as revisões de controle de segurança fazem mais do que impor a conformidade. Eles ajudam uma organização a melhorar e a se transformar naturalmente por meio de processos melhores.
Essas abordagens ajudam a tornar o termo transformação digital significativo. Por exemplo, um grupo de pen testers contratados para uma grande organização de varejo on-line e física percebeu que ela estava seguindo procedimentos de resposta a incidentes que eram ideais para sistemas locais, mas a empresa havia migrado muitos de seus sistemas para software como um plataformas de serviço (SaaS) na Amazon Web Services (AWS).
Como resultado, os procedimentos de resposta a incidentes da empresa estavam extremamente desatualizados. Essa incompatibilidade entre a resposta a incidentes no local e a resposta a incidentes baseada na nuvem já existia há pelo menos dois anos. A empresa ainda passou por auditorias de conformidade todos os anos, mesmo com um processo desatualizado. No entanto, uma equipe de testes de penetração com visão de futuro olhou além da conformidade e da auditoria para encontrar proativamente soluções para amadurecer os processos da organização.
Ao fazer isso, as organizações reduzem o risco de TI com maior visibilidade de seus sistemas e redes. No final, as empresas podem avançar com uma melhor conformidade regulamentar e ter mais confiança nos seus processos e controlos dentro do negócio.
Uma das maneiras mais comuns de melhorar a maturidade é coordenar as atividades de pentest (equipe vermelha) e monitoramento de segurança (equipe azul). O objetivo principal da realização de um teste de penetração não deve ser a conformidade; deveria ser para ajudar os analistas de segurança a melhorar os processos e controles de segurança da organização.
Estruturas comuns de gestão de riscos
Existem inúmeras estruturas de gestão de riscos em TI que existem hoje. É importante compreender que tais estruturas representam apenas o início do processo de maturidade do GRC. À medida que você começa a melhorar os processos organizacionais, pode ser útil consultar estruturas apropriadas, como as listadas abaixo.
| FRAMEWORK | DESCRIÇÃO |
| Estrutura de gerenciamento de risco do NIST (RMF) | Fornece um processo definido pelo governo dos EUA destinado a integrar segurança, privacidade e gerenciamento de riscos da cadeia de suprimentos cibernética. O objetivo é criar uma abordagem sistemática que se assemelhe ao ciclo de vida de desenvolvimento de um sistema. Esta estrutura foi adotada em todo o mundo. |
| ISO 27001 e ISO 27002 | Estes dois documentos permitem que organizações de qualquer tipo utilizem controlos de segurança para gerir a segurança de activos, tais como informações financeiras, propriedade intelectual, detalhes de funcionários ou informações confiadas por terceiros. A ISO 27001 fornece informações sobre controles de segurança aceitos pela indústria. O documento ISO 27002 é um suplemento que explica sugestões de melhores práticas e orientações para implementar os controles de segurança encontrados na ISO 27001. |
| NIST 800-53 | Este documento específico tem como objetivo recomendar controles específicos de segurança e privacidade para agências governamentais federais dos EUA. Embora não especifique oficialmente os controlos para as organizações de segurança nacional, é, no entanto, um recurso comum para organizações públicas e privadas. |
| NIST 800-171 | Originalmente concebido como um complemento do NIST 800-53, o documento 800-171 destina-se a fornecer às organizações, incluindo agências federais dos EUA, informações sobre como controlar informações não classificadas. Muitas organizações em todo o mundo adotaram este documento como uma estrutura básica para o gerenciamento de riscos. |
Em alguns cenários, governos e empresas em todo o mundo utilizarão padrões baseados no NIST, apesar de terem sido originalmente criados nos Estados Unidos. Outras organizações a nível mundial poderão concentrar-se mais nas normas ISO como início da sua jornada de gestão de riscos.
Espera-se também que certas organizações cumpram sistematicamente essas estruturas. Por exemplo, pen testers e auditores de segurança geralmente se concentram nos controles e processos de segurança listados nesses documentos. Muitas empresas e organizações do setor financeiro – especialmente bancos – também utilizam o NIST Cybersecurity Framework (CSF). Essas organizações passam por auditorias para garantir que cumprem as regulamentações governamentais exigidas. No entanto, muitas organizações utilizam estruturas como ponto de partida para solidificar o seu objetivo de gestão de riscos.
Mas é muito importante compreender que os quadros acima representam apenas o início do processo de gestão de riscos. Espera-se que os profissionais de segurança modifiquem e se afastem das estruturas acima em muitos casos, com base nas necessidades de uma organização e nos riscos que a organização encontra.
A conformidade pode ajudar na maturidade do processo
O gerenciamento de riscos de TI é simples de discutir em termos de conceitos básicos, mas a maioria das equipes precisa se tornar mais prática sobre isso. A conformidade regulatória é importante para todas as práticas de gestão de risco. Ele protege empresas e indivíduos contra ataques maliciosos. A conformidade é frequentemente vista como o obstáculo a ser alcançado no gerenciamento de riscos e no GRC geral da empresa. No entanto, algumas organizações concentram-se mais no aspecto de conformidade da gestão de riscos e não tanto na maturidade do processo necessária para alcançar a conformidade naturalmente.
O principal objetivo da equipe de segurança cibernética é garantir a conformidade com os controles de segurança estabelecidos por um regulamento para proteger uma organização. Normalmente, as equipes de segurança cibernética são encarregadas da maioria das atividades de gerenciamento de riscos de TI, incluindo o monitoramento de riscos por meio da implementação, auditoria e relatórios sobre essas atividades.
Por outro lado, o objetivo principal da equipe de liderança do GRC empresarial é garantir que toda a organização minimize os riscos e proteja os ativos de negócios, ao mesmo tempo que garante a conformidade regulatória. A maioria das equipes de liderança são formadas principalmente por executivos de negócios e discutem os riscos com uma mentalidade empresarial. Para que a conformidade ajude na maturidade do processo, ambas as equipes precisam comunicar os problemas de risco que enfrentam por meio de conversas práticas sobre gerenciamento de riscos.
Por exemplo, patches de controle de segurança podem ser a solução para minimizar a vulnerabilidade do sistema ou no caso de resposta a um incidente. No entanto, patches de segurança específicos podem diferir dependendo do tipo de setor. Nas indústrias de Controle de Supervisão e Aquisição de Dados (SCADA), a maioria das operações tem necessidade de 24 horas por dia, 7 dias por semana. No caso de um incidente ou vulnerabilidade, os líderes empresariais podem reforçar um processo que interrompe temporariamente a produção ou as operações.
Em um setor como o SCADA, o sistema geralmente não pode ser colocado off-line e corrigido adequadamente sem grandes interrupções. Portanto, os líderes e as equipes de TI precisam gerenciar as expectativas dos controles de segurança de forma colaborativa para garantir uma melhor maturidade dos processos. A gestão de riscos de TI e a conformidade com GRC têm de trabalhar em conjunto para criar, implementar e estabelecer processos que se concentrem na maturidade dos processos para alcançar uma maior conformidade.
Como construir e implementar um plano de gestão de riscos em TI em 4 etapas
Construir e implementar um plano de gestão de riscos de TI, ou um plano de gestão de riscos mais resiliente, é fundamental no mundo digital de hoje. O principal objetivo para construir um plano de gerenciamento de riscos é redigir, desenvolver e praticar o plano. A gestão de riscos prática e realista precisa ser escrita e documentada, ou permanecerá apenas uma ideia e um conjunto de estratégias abstratas.
O objetivo deve ser colocar os princípios de gestão de riscos em funcionamento para a organização. Embora este seja um começo fundamental, as equipes precisam fazer mais do que apenas escrever procedimentos em uma política de segurança. As organizações precisam de garantir que estes planos fazem parte da sua “memória muscular”.
Aqui estão 4 etapas para construir e implementar um plano prático de gerenciamento de riscos que se concentre no amadurecimento dos processos:
- Identifique seu risco organizacional e vulnerabilidades potenciais
O risco parece diferente entre os setores. Algumas indústrias apresentam mais riscos do que outras. No entanto, o risco é algo que existe em todos os negócios. É importante que as equipes de TI e a liderança empresarial trabalhem juntas para identificar quais riscos comuns sua organização enfrenta.
Por exemplo, a identificação de riscos será diferente para uma pequena loja de varejo e para um hospital. Para uma pequena loja de varejo, o maior risco pode ser um ataque ao seu inventário digital ou sistema de processamento de pagamentos. Em contraste, um hospital terá mais necessidade de processos seguros e deve compreender que enfrenta um risco digital com os dados dos seus clientes e informações de identificação pessoal (PII), informações de saúde, servidores de e-mail, redes, sistemas informáticos e muito mais.
Se você não conseguir identificar os pontos mais fracos da infraestrutura de sua empresa, poderá descobrir que os invasores terão prazer em explorá-los para você. O objetivo do gerenciamento prático de riscos é conhecer seus pontos fracos. Só então você poderá trabalhar para melhorar os processos e mitigá-los.
- Avalie e avalie o risco para focar em mais atividades de confiança zero versus “pronto para usar”
Uma vez identificados os principais riscos da organização, os profissionais de TI e os líderes organizacionais precisam de incutir práticas e processos que visem avaliar e mitigar esse risco. O ponto ideal para a gestão prática do risco situa-se entre a regulamentação/conformidade/GRC e o risco interno e externo. É aqui que as empresas precisam se concentrar no amadurecimento de seus processos.
Por exemplo, nos últimos anos, muitos profissionais e líderes de TI ouviram regularmente o termo “confiança zero” em relação à gestão de riscos. A confiança zero é mais do que apenas um termo de segurança – é um processo a ser implementado para gerenciamento prático de riscos. Uma estrutura de confiança zero vê o risco como existente em ambos os lados do firewall. Considera o risco interno tão prejudicial quanto o risco externo.
A confiança zero também analisa os processos em vigor para proteger melhor os sistemas internos, tanto quanto o tráfego do sistema externo. A confiança zero concentra-se em processos que exigem melhor segurança, além de verificações e equilíbrios nas infraestruturas organizacionais.
Para ilustrar, vejamos o processo interno da sua organização de lista de permissões ou de negação. Se sua organização lida com muitos dados controlados e propriedade intelectual, restringir ou limitar com segurança o acesso de usuários internos a sites externos, como sites de mídia social, pode minimizar o risco de vazamento de dados de sua empresa. Também elimina o aspecto “pronto para usar”, assumindo que o risco não existe mais. As abordagens de confiança zero também podem ajudar a melhorar a segurança da Internet das coisas (IoT) e da tecnologia operacional (OT).
- Garanta uma comunicação eficaz entre as equipes de TI e de liderança empresarial
Os profissionais de TI, a gestão e a liderança empresarial precisam implementar uma melhor comunicação entre as equipes. Eles precisam conversar entre si, e não entre si, e simplificar a terminologia, se necessário, dependendo do público. As conversas também devem ser mais proativas e não reativas.
Ao construir e implementar um plano de gerenciamento de riscos em uma organização, conversas e comunicações regulares sobre riscos devem fazer parte da equação. No atual cenário de ameaças constantes, a ignorância já não é uma felicidade e a prevenção de riscos apenas prejudica os processos – não os ajuda.
- Revise e execute simulações e exercícios de cenários de risco
As organizações precisam reservar um tempo para revisar e executar simulações e exercícios de cenários de risco. Por exemplo, a violação de dados da Target foi uma das maiores violações da história recente e liderou a implementação de melhores práticas de segurança. Embora alguns aspectos dessa violação ainda não estejam claros, bastou um e-mail de phishing para desencadear um ataque que comprometeu as informações pessoais de mais de 100 milhões de pessoas.
Para que as organizações implementem um plano prático de gestão de riscos, elas precisam começar a focar nas atividades que conduzem os funcionários e a liderança por meio de simulações de cenários e exercícios. A liderança pode criar exercícios de mesa para profissionais e gerenciamento de TI conversarem juntos sobre um incidente de segurança proposto e como ele pode ser melhor corrigido.
As equipes de segurança cibernética devem trabalhar com a liderança para criar atividades completas que envolvam partes importantes de toda a organização. Ou seja, eles podem executar campanhas de phishing que enviam e-mails de phishing aos funcionários para direcionar onde pode haver maior risco de incidentes em departamentos ou equipes específicas.
Melhores práticas para gerenciar eficazmente o risco da informação em TI
A principal prática recomendada para que as organizações gerenciem com eficácia o risco de informações em TI é focar no amadurecimento dos processos de segurança em sua organização.
Fazer isso envolve o emprego de atividades organizacionais como as seguintes:
- Mais envolvimento com a alta administração. Os profissionais de TI tendem a se concentrar mais na tecnologia do que no risco geral de uma organização. A gestão tem tendência a focar no risco e ignorar a tecnologia. Como profissional de segurança, é sua função estabelecer contato com funcionários executivos e técnicos. Isto envolve a realização de reuniões, a recolha de dados e a identificação de pontos em comum. A realização de reuniões regulares e a comunicação com indivíduos e grupos dentro da organização ajudarão você a aplicar melhor os controles de segurança e a fazer as alterações apropriadas neles. Sem consenso e adesão administrativa, quaisquer soluções parecerão (e na verdade serão) inadequadas e ineficazes para ajudar a gerir melhor os riscos.
- Identifique os processos de negócios que precisam de modificação. Uma das principais razões pelas quais os trabalhadores de segurança acabam brincando de “limpar” é porque a organização segue processos que causam confusão em primeiro lugar. É necessário realizar uma série de investigações de análise de causa raiz. A análise da causa raiz não é necessariamente uma investigação técnica. Para começar, dê uma olhada no comportamento geral da organização.
- Determinar os procedimentos e controles técnicos existentes. A avaliação de vulnerabilidade e o teste de penetração (VAPT) existem por mais razões do que apenas conformidade. O VAPT, juntamente com o monitoramento, pode ajudar uma organização a identificar pontos fracos tanto nas equipes técnicas quanto nos processos de negócios existentes. Como parte desta atividade, você irá:
- Conduza uma análise de impacto nos negócios.
- Identifique estratégias de gerenciamento de risco que se aplicam à sua organização específica. Estas estratégias podem incluir aceitação, evitação, transferência, seguro de segurança cibernética e mitigação.
- Identifique impactos nos processos de negócios.
- Determine como os problemas podem impactar uma organização em termos de leis e estruturas de privacidade que se aplicam à organização.
- Codifique as alterações. Depois de identificar os processos existentes, trabalhe com as equipes técnicas e de gerenciamento para criar e implementar mudanças que ajudarão a amadurecer a segurança.
As melhores práticas para o gerenciamento prático de riscos concentram-se nos processos versus as demandas de conformidade ou GRC da organização. Para uma melhor gestão de riscos, as organizações precisam mudar a mentalidade de risco de evasão ou tolerância para implementar mais confiança zero em seus processos.
Os líderes também precisam de mudar a narrativa para concentrar a sua gestão de riscos nas melhores práticas. Devem centrar-se no aumento da resiliência organizacional em vez da conformidade. Melhorar os processos requer uma abordagem estratégica de TI para melhorar a segurança. Adotar uma abordagem estratégica para aumentar a resiliência é a melhor forma de melhorar a confiança nos processos de uma organização.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar-condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.
