6 passos para obter a aceitação de riscos correta

Compreender a tolerância ao risco da sua organização é vital para informar a estratégia de segurança cibernética

Author Photo
4:30 pm - 29 de março de 2022
riscos

O especialista em segurança cibernética e risco David Wilkinson ouviu alguns executivos adiarem as discussões sobre aceitação de risco, dizendo que não têm apetite ou tolerância ao risco.

“Mas toda organização precisa ter algum nível de aceitação de risco”, diz Wilkinson, Sócio-Gerente Sênior do The Bellwether Group, uma empresa que fornece serviços de segurança e risco. Caso contrário, eles seriam incapazes de funcionar.

No entanto, há indicadores de que muitos CISOs não estão tendo conversas produtivas sobre a aceitação de riscos.
De acordo com uma pesquisa do Gartner, apenas 66% dos CISOs identificados como de alto desempenho colaboram com os tomadores de decisões de negócios seniores para definir o apetite de risco de sua organização. (O número cai para apenas 37% entre os CISOs identificados pelo Gartner como “de desempenho inferior”.)

Os CISOs devem conduzir essas conversas, diz Frank Kim, Consultor de Segurança, porque entender o risco e, mais especificamente, identificar a quantidade de risco que uma organização se sente confortável em aceitar deve informar a estratégia de segurança cibernética.

Essas conversas também identificam quais riscos a organização deseja evitar, quais deseja transferir e quais deve mitigar – todos os quais também devem orientar a agenda do CISO.

“É saber quais riscos você corre e quais não pode correr”, diz Kim, fundador da ThinkSec, uma empresa de consultoria de segurança e consultoria CISO, bem como Líder para os currículos SANS Cybersecurity Leadership e SANS Cloud Security.

Aqui estão os principais elementos oferecidos por especialistas para ajudar os CISOs a obter a aceitação de risco correta:

Saiba o que é mais importante para sua organização

O CISO deve entender quais riscos representam quais preocupações para ter conversas informadas sobre os riscos que a organização está disposta a aceitar. E para fazer isso, eles devem entender completamente a tecnologia, os dados e os processos de sua organização, bem como as funções de negócios e os resultados que procuram proteger, diz Jon Baker, Cofundador e Diretor Interino de Pesquisa e Desenvolvimento do Center for Threat-Informed Defense da MITRE Engenuity.

“Entender a base é realmente entender os sistemas, o tipo de informação que é processada e o impacto disso na sua organização”, explica ele. “Então, trata-se de entender o cenário de ameaças, as ameaças com as quais você, como organização, se preocupa e os controles que você tem para gerenciar esses riscos”.

Os CISOs com essa perspectiva geral estão melhor posicionados para identificar quais riscos representam as maiores ameaças à capacidade da organização de realizar e executar transações. Assim, eles podem ter conversas mais produtivas sobre quais riscos a organização pode conviver – e quais eles não podem.

“Você tem uma noção do que é mais importante para a organização e, então, pode conversar sobre onde está o risco cibernético e qual é o impacto”, diz Kim.

Analise, comunique riscos com uma lente de negócios

Kim enfatiza o que os CISOs ouvem há anos: que eles devem colocar os riscos cibernéticos no contexto dos negócios.

“Entenda os problemas que podem atrapalhar as operações de negócios”, diz ele.

Nem todas as ameaças cibernéticas representam um risco igual; por outro lado, cada ameaça cibernética pode causar danos variados, diz Jon France, CISO da (ISC)², uma associação de treinamento e certificação de segurança cibernética.

Por exemplo, o impacto de um ataque que elimina, digamos, um sistema de máquina de venda automática é menos preocupante do que o impacto desse mesmo tipo de ataque em um sistema de missão crítica que lida com vida e integridade física, como um equipamento médico de suporte.

Como tal, os CISOs precisam entender, classificar e comunicar ameaças cibernéticas não apenas em seu impacto na tecnologia corporativa, mas também nas funções de negócios. Dessa forma, eles e seus colegas de nível C podem delinear quais riscos desejam evitar, transferir, mitigar e aceitar com base em considerações da empresa (ou seja, custos, missão, requisitos de conformidade etc.)

Como resume France: “Você não pode optar por aceitar um risco se não o entender no contexto do seu negócio”.

Envolva o negócio na aceitação de riscos

Embora os CISOs devam colocar os riscos cibernéticos no contexto de negócios, não devem ser eles que determinam quais riscos a organização deseja evitar, transferir, mitigar ou aceitar.

“O CISO ajudará a definir os níveis de risco, mas não é quem deve aprová-los”, diz Wilkinson, Professor Adjunto de Segurança Cibernética e Gerenciamento de Riscos do Boston College.

Ele diz que essa tarefa deve caber aos executivos que possuem as áreas de negócios impactadas pelo risco; como tal, os CISOs precisam engajar esses colegas em discussões relacionadas a riscos e juntos chegar a um consenso sobre o nível de risco cibernético que cada um está disposto a aceitar em sua área funcional.

“Depois, isso precisa ser debatido por todo o comitê de risco e depois pelo conselho, que pode aprová-lo”, acrescenta.

Mas Wilkinson diz que essas conversas geralmente não acontecem.

“Os CISOs sempre me dizem que o envolvimento dos negócios é o molho secreto que está faltando e, no entanto, é absolutamente crítico”, acrescenta.

Além disso, especialistas dizem que as organizações devem articular e quantificar sua abordagem ao gerenciamento de riscos como parte dessas discussões.

Kim observa que as organizações com programas de gerenciamento de risco maduros têm uma declaração de apetite ao risco que descreve os tipos de riscos e em quais quantidades a organização aceitará. Eles também costumam usar métodos para quantificar e classificar os riscos, para que saibam quando um risco passa de aceitável para exigir uma ação.

O executivo de segurança Pam Nigro concorda, apontando a Análise Fatorial de Risco de Informação (FAIR) como uma metodologia que os CISOs podem usar para quantificar e gerenciar riscos dentro de sua organização.

“Quando você tem, por exemplo, 20 riscos críticos, isso ajuda a explicar o que eles significam para alguém que não vive e respira segurança todos os dias”, diz Nigro, Vice-Presidente de Segurança da Medecision, Vice-Presidente do Conselho da Associação de Governança ISACA , e Professor Adjunto da Lewis University em Segurança da Informação, Risco, Conformidade e Governança de TI.

Deixe a empresa assumir o risco, mas continue sendo parceira na gestão

Como definir a aceitação do risco é um exercício de negócios, os especialistas dizem que o gerenciamento e a propriedade dele devem caber às funções ou equipes responsáveis pelas funções, serviços ou produtos afetados pelo risco, diz Jermaine M. Stanley, Diretor do Conselho da One in Tech, uma fundação da ISACA e Vice-Presidente da Greater Washington, DC, chapter da ISACA.

“Você tem que ter o compromisso da gestão com a avaliação de risco e gestão de risco. Você precisa garantir que haja um entendimento de que as pessoas envolvidas na organização entendam quem é responsável pela aceitação de riscos”, diz Stanley. “Esses podem ser executivos de negócios das unidades de negócios, mas não o CISO. O CISO é responsável pela segurança da organização. Os executivos de negócios, gerentes gerais ou presidente, essas pessoas precisam estar no gancho e ser responsáveis pelo risco em suas linhas de negócios, processos ou produtos”.

Isso não significa que os CISOs podem desistir da tarefa, acrescenta ele e outros especialistas.

“Não é apenas dizer: ‘Aqui está o risco, aceite-o’. Você não pode simplesmente jogar por cima do muro e dizer que é problema deles. É uma parceria”, diz Nigro. “A segurança precisa estar engajada e realmente servir à organização, por isso estamos trabalhando juntos para manter a organização segura. A segurança tem que ser aquele parceiro que une as coisas”.

Empregar frameworks, ferramentas para apoiar o gerenciamento de riscos

Stanley aconselha os CISOs e seus colegas a usarem uma metodologia de gerenciamento de risco, como FAIR, para dirigir, gerenciar e acompanhar essas atividades.

“Você tem que identificar seus riscos contra seus ativos, você tem que avaliar seus riscos, classificá-los [por exemplo, como] baixo, médio/moderado ou alto impacto, e então, quando falamos sobre o impacto, há a ameaça e a probabilidade de ocorrer dentro de 12 a 18 meses, para que você saiba se deseja priorizar um risco”, diz ele. “O que tudo isso faz é ajudar [a liderança empresarial] a tomar decisões sobre onde alocar recursos, e isso entra no orçamento e na estratégia de negócios”.

Ele acrescenta: “É por isso que uma metodologia de gerenciamento de risco é fundamental para a avaliação de risco”.

Stanley também recomenda o uso de tecnologias de gerenciamento de risco corporativo e/ou ferramentas de governança, risco e conformidade (GRC), bem como um registro de risco; ele diz que isso ajuda a identificar e rastrear os riscos à medida que eles evoluem e as condições do mercado e da empresa mudam. Isso ajuda as organizações a identificar quando os riscos aceitos passam para inaceitáveis ou vice-versa.

Revisitar e reavaliar a aceitação do risco

Stanley, que também é especialista em segurança e conformidade na empresa de software Proofpoint, diz que ele e seus colegas fazem uma revisão anual automática da aceitação de riscos da organização, explicando-a como uma oportunidade de “ajustar o mostrador”.

Ele e outros enfatizam a necessidade de os CISOs e suas organizações avaliarem seu apetite por risco e, com isso, seus níveis de aceitação de risco, regularmente – anualmente ou com mais frequência, conforme as circunstâncias possam exigir.

“A aceitação de riscos é uma parte do processo de gerenciamento de riscos, e sua revisão [deve estar vinculada] à frequência com que uma empresa recalibra o que faz. Portanto, sempre que houver uma mudança material no negócio, uma estratégia diferente ou aquisição ou fusão, isso precisa ser revisto”, diz Kim.

“Mas [CISOs] devem fazer isso diariamente ou semanalmente também, fazendo perguntas. A segurança muitas vezes fica atolada no dia-a-dia e nem sempre estamos em contato com os negócios. Mas, assim como a empresa se reavalia regularmente, diariamente ou frequentemente, os CISOs também precisam estar continuamente em contato com a empresa para entender como o risco deve ser aceito ou não. Idealmente, queremos nos esforçar para chegar a um ponto em que estamos continuamente entendendo isso e como precisamos mudar nossa abordagem”.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.