Conheça o gerenciamento de riscos de cibersegurança
Objetivos de aprendizagem
Após concluir esta unidade, você estará apto a:
- Descrever os objetivos de um programa de gerenciamento de riscos de cibersegurança.
- Explicar a importância do gerenciamento de riscos de cibersegurança.
O que é Gerenciamento de riscos de cibersegurança?
Sua empresa acabou de fechar um contrato para usar um novo serviço de computação em nuvem. Oba! Essa nova tecnologia facilita automatizar o desenvolvimento de aplicativos e traz novas oportunidades. Mas vamos fazer uma pausa por um momento. Você considerou o possível impacto de os dados processados por essa nova tecnologia serem comprometidos por um invasor? Já pensou nos riscos?
É aqui que o gerenciamento de riscos de cibersegurança entra em jogo. O gerenciamento de riscos de cibersegurança é o processo de gerenciar riscos associados a ativos comerciais digitais. Ele envolve a identificação, a avaliação e a mitigação de riscos para proteger a confidencialidade, a integridade e a disponibilidade de ativos de uma organização. Como gerente de riscos de cibersegurança, você deve se empenhar em melhorar a visibilidade de riscos em cada sistema, unidade de negócios e na empresa como um todo a fim de fortalecer a resiliência cibernética da organização. A resiliência cibernética se refere à capacidade de uma organização de impedir, detectar, responder e se recuperar de ameaças cibernéticas. Em um mundo sempre em movimento, novos riscos e ameaças cibernéticas aparecem todos os dias. Você capacita a organização a responder aos incidentes na hora certa a fim de minimizar interrupções nos negócios e prejuízo financeiro. Não é preciso dizer que é uma função extremamente importante!
Bem, voltando ao nosso exemplo inicial, como você, sendo gerente de riscos cibernéticos, pode identificar os riscos de se usar o novo serviço de computação em nuvem? Para começar, você precisa considerar a probabilidade de exploração de vulnerabilidades por ameaças conhecidas. Por exemplo, existem dados de cliente confidenciais armazenados na nuvem que um invasor gostaria de roubar? Existem vulnerabilidades conhecidas nos aplicativos em execução na nuvem que permitiriam a um invasor acessar as informações? Qual é o possível impacto financeiro, operacional e reputacional na sua empresa caso ocorra esse vazamento? Qual é a probabilidade real de ocorrer essa situação? Esses são os tipos de pergunta que um gerente de riscos precisa se fazer todos os dias.
Depois que o risco de determinado programa, sistema ou tecnologia é identificado, a organização atua para se proteger do risco. Imagine que você esteja contratando um plano de saúde. Com um plano de saúde, você não precisa se preocupar muito com o valor das suas consultas, exames e internações. Se você sofrer um acidente, sabe que será bem cuidado e poderá se recuperar rapidamente. Quando você escolhe um plano de saúde, pensa cuidadosamente nos benefícios e custos de cada plano a fim de escolher o que se adapta melhor às suas necessidades de saúde. Da mesma forma, como gerente de riscos de cibersegurança, você compara custos e benefícios da mitigação dos riscos cibernéticos implementando proteções e aconselhando a organização a implementar o melhor plano de ação.
Assim com o a contratação de um plano reduz o risco associado aos acidentes, o gerenciamento de riscos cibernéticos "reduz" o possível impacto em caso de comprometimento de dados por um invasor. Embora seja impossível eliminar totalmente todos os riscos, o gerenciamento de riscos cibernéticos minimiza a probabilidade de um invasor explorar uma vulnerabilidade. Se um invasor tiver sucesso ao invadir um sistema, o gerenciamento de riscos ainda pode minimizar a interrupção dos negócios e o prejuízo financeiro para que a organização possa voltar ao trabalho mais rapidamente.
A importância de gerenciar riscos cibernéticos
Conforme sua organização vai adquirindo novos ativos tecnológicos e se tornando cada vez mais conectada, as ameaças aos seus dados e aos de seus clientes também vai se expandindo. É hora de bolar um plano para oferecer o grau certo de proteções cibernéticas para que seus clientes saibam que podem confiar na sua organização para proteger suas informações. O gerenciamento de riscos cibernéticos significa tomar decisões conscientes sobre a proteção de informações confidenciais.
Como gerente de riscos cibernéticos, seu trabalho envolve facilitar a identificação e a avaliação de riscos para que todos, do seu chefe aos seus clientes, possam entender a tolerância a riscos da organização e as ações e os custos associados a esse gerenciamento. Embora o gerenciamento de riscos cibernéticos não possa garantir que as decisões certas serão sempre tomadas, ele garante que todos saberão quem é responsável pelo gerenciamento de determinado risco em níveis aceitáveis.
Toda organização é única quando se trata de risco e do quanto ela está disposta a assumir. Mas o gerenciamento de riscos cibernéticos é uma atividade importante em pequenas e grandes empresas, em todo o mundo e em todos os setores, independentemente de ser Financeiro,Saúde, Setor público ou Energia. As empresas menores podem terceirizar as funções de gerenciamento de riscos a uma empresa externa. Você pode ter que trabalhar com um desses fornecedores. Ou pode até trabalhar para uma empresa que presta serviços de gerenciamento de riscos de cibersegurança. Como membro da equipe de gerenciamento de riscos cibernéticos em uma empresa de grande porte, você pode precisar trabalhar com várias equipes a fim de entender o risco holisticamente, incluindo a integração com a Equipe de gerenciamento de riscos empresariais. Essa equipe gerencia os riscos financeiros, operacionais, jurídicos e outros da organização, além dos riscos cibernéticos em um nível estratégico empresarial.
Verificação de conhecimento
Pronto para analisar o que aprendeu? A verificação de conhecimento abaixo não é pontuada, é apenas uma maneira fácil de avaliar o que você absorveu. Para começar, arraste a descrição na coluna à esquerda até a categoria correspondente à direita. Quando terminar de corresponder todos os itens, clique em Enviar para verificar seu trabalho. Para recomeçar, clique em Reiniciar.
Ótimo trabalho! Lembre-se de que, independentemente do tipo de organização para a qual você trabalha, é essencial encontrar o equilíbrio certo entre recompensa e tolerância a riscos. Na próxima unidade, você saberá mais sobre suas responsabilidades para equilibrar o risco, como gerente de riscos de cibersegurança, e as habilidades que te ajudam a ter sucesso nessa função.
Recursos
- Trailhead: Desenvolvimento do programa de resiliência cibernética
- Site externo: ISO/IEC 27005: Segurança da informação, segurança cibernética e proteção da privacidade 2022
- Site externo: Fórum Econômico Mundial (WEF): por que o risco cibernético deve ser priorizado pelos serviços financeiros
- Site externo: Estrutura de gerenciamento de riscos do NIST para sistemas de informação e organizações
- Site externo: GitHub: Awesome-security-GRC