Nosso blog

Como gerenciar fatores que você não pode mensurar?

k

03 Maio 2017

Malcolm Stokes

Posts by authors: Malcolm Stokes, Head of Operational Risk, BT Security

LinkedIn

Quando se trata de avaliar riscos à segurança, exemplos passados não funcionam, porque as ameaças sempre se renovam. Como fazer para evitar ataques?

Segundo um mito bastante difundido, “você não pode gerenciar o que não pode mensurar”. Se você acredita nisso, o termo “gerenciamento de risco” não faz sentido algum. Por definição, “risco” é alguma coisa que pode acontecer no futuro – portanto, o máximo que se pode fazer é uma estimativa. Você certamente não pode mensurar algo que ainda não aconteceu.

Quando se fala em avaliação de risco, em geral o referencial são perdas já ocorridas – partindo-se do princípio de que a história se repete. O problema com os riscos cibernéticos é sua história curta; é a velocidade com que mudam. Isso torna difícil, por exemplo, o trabalho dos atuários, que precisam definir o preço de seguros para esses riscos.

Métricas de risco significativas

O que se pode medir em segurança cibernética? A resposta usual é técnica – você pode medir o número de vulnerabilidades não corrigidas em seus sistemas de TI, ou o tempo necessário para bloquear ataques DDoS (Distributed Denial of Service). É possível até tentar medir a conformidade de seus sistemas com padrões de segurança de TI (como ISO27000, NIST800, ENISA, COBIT, PCI-DSS ou CIS20 CSCs).

Esses padrões dizem respeito a fatores de risco, sem dúvida, mas as ameaças vêm precisamente de quem busca detectar uma pequena falha em suas defesas. E para eles não importam os 99% de conformidade de seus sistemas – o que procuram é a brecha de um por cento para explorar. Se não conseguirem encontrá-la, eles vão tentar encontrar meios de persuadir um de seus funcionários a abrir-lhes as portas.

O fator humano

A ameaça de insiders não se limita a funcionários descontentes. Também podem representar uma ameaça os funcionários negligentes, ou aqueles que confiam demais nas mediadas de segurança já existentes, ou que estejam sobrecarregados de trabalho – enfim, muitos deles podem ser vítimas de golpes de phishing ou de coação.

Quantos dispositivos precisaram ser limpos recentemente por causa de um ataque de phishing bem-sucedido? E qual foi a taxa de cliques na última tentativa de phishing que sua empresa sofreu? Esse é o tipo de medição que pode funcionar como base para uma avaliação de risco.

Você também precisa entender as possíveis brechas em suas medidas de defesa cibernética. Quantas são e onde estão no perímetro de sua TI? Quais são as camadas de proteção com que você conta? Os hackers éticos ajudam a encontrar essas falhas, e se você não utilizar seus serviços, pode ser que um jornalista mais proativo faça isso por você, na esperança de encontrar uma boa história.

Sérios hackers éticos trabalham como um “time vermelho” tentando se infiltrar em sua rede de TI sem serem percebidos. Eles vão testar suas camadas de proteção e detecção cibernética, e lembre-se, eles são ótimos em adivinhar senhas.

Como evitar riscos

Gerenciar riscos cibernéticos significa eliminar as falhas de segurança, educar os funcionários e preparar medidas para minimizar danos, caso um dia aconteça um ataque. Tudo isso custa dinheiro – um investimento que só se justifica pela redução de risco.

A área financeira vai questionar o retorno sobre o investimento, buscando quantificar suas vantagens – o que se traduz em medir risco. Mas se risco não pode ser medido… Como lidar com a área financeira é uma outra história. E fica para outro dia.