Skip to main content

Proteger a organização com o gerenciamento de riscos de cibersegurança

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Criar e implementar um programa de gerenciamento de riscos de cibersegurança tirando proveito das estruturas existentes.
  • Descrever como mitigar, transferir ou aceitar riscos.
  • Explicar os tipos de parcerias necessários para gerenciar riscos cibernéticos.

Criar e implementar um programa de gerenciamento de riscos cibernéticos

Na unidade anterior, você fez as perguntas certas para identificar riscos cibernéticos em um contexto empresarial e recebeu a informação de que precisa entender a tolerância a riscos da organização. Agora é hora de gerenciar os riscos de cibersegurança.

A estrutura certa facilita a proteção da organização. Você pode desenvolver e implementar sua própria estrutura ou tirar proveito das estruturas e metodologias do setor. Existem muitas estruturas nacionais, internacionais e específicas do setor à escolha. O Fórum Econômico Mundial (WEF) elaborou um white paper sobre Como propagar a resiliência cibernética, que contém uma estrutura para o gerenciamento de riscos cibernéticos. A estrutura aborda vários ativos de TI, como propriedade intelectual, ativos financeiros e ativos de segurança, e avalia o impacto comercial de perda de confidencialidade, integridade ou disponibilidade 

Outra estrutura usada regularmente é a Estrutura de segurança cibernética do National Institute of Standards and Technology (NIST), que organiza as atividades de cibersegurança e os resultados desejados em cinco funções: identificar, proteger, detectar, responder e recuperar. As funções oferecem uma visão geral da maturidade de uma organização no gerenciamento de riscos e podem ser adaptadas a organizações do setor público e do setor privado de todos os tamanhos em todo o mundo. 

Outro recurso muito usado no gerenciamento de riscos cibernéticos é  20 principais controles de segurança do Center for Internet Security. As organizações usam os controles para proteger suas informações críticas e reduzir a chance de comprometimento. 

Outras estruturas muito usadas incluem as normas ISO/IEC 27001/2 Gerenciamento de segurança da informação, a metodologia Análise de fator de risco da informação (FAIR)  e normas específicas do setor, como a Norma de segurança de dados do setor de cartões de pagamento (PCI DSS) no setor financeiro e Lei de portabilidade e responsabilidade dos planos de saúde (HIPAA) no setor de saúde. Independentemente da estrutura escolhida, tenha em mente que a conformidade com uma estrutura, um regulamento ou uma política é necessária, mas não é o bastante. Como gerente de riscos de cibersegurança, você precisa gerenciar o risco em um nível condizente com a tolerância a riscos exclusiva da sua organização. 

Dependendo do tamanho da organização, o gerenciamento de riscos cibernéticos pode exigir a integração com uma equipe de Gerenciamento de riscos empresariais (ERM). Essa função de gerenciamento de riscos mais ampla leva em conta os riscos financeiros e regulatórios além dos operacionais em um nível estratégico organizacional. Por exemplo, uma função de ERM de uma farmacêutica pode levar em conta os riscos financeiros se um novo medicamento que a empresa está desenvolvendo não é aprovado. A empresa também poderá sofrer prejuízo se um agente hostil trabalhando para a concorrência violar os sistemas da empresa e roubar a fórmula secreta do medicamento. Tanto esse risco de cibersegurança quanto o risco financeiro são levados em conta no gerenciamento do risco geral da organização.

Depois de escolher e adaptar as estruturas relevantes para sua organização, é hora de usar a estrutura para fazer avaliações contínuas das suas unidades de negócios, programas, sistemas e fornecedores terceirizados. Para ajudar você a entender o risco em seu ambiente, é importante identificar e coletar dados regularmente para usar como indicador das tendências de risco. Por exemplo, o governo americano coleta as métricas da Lei de gerenciamento de sistemas de informação federais (FISMA) de diretores de informação (CIO) trimestralmente para ajudar os departamentos e as agências a gerenciar seus riscos cibernéticos, dar suporte à tomada de decisões e priorizar aprimoramentos. 

A compreensão da postura de risco de base da organização e os objetivos de aprimoramento permite que você aconselhe a organização em relação às mudanças necessárias na estratégia, nas políticas e nas normas de cibersegurança. Como gerente de riscos de cibersegurança, você também fundamenta as decisões sobre quais controles e correções devem ser priorizados. Vamos nos aprofundar em como você deve aconselhar a implementação de controles técnicos. 

Mitigar, transferir ou aceitar risco

A avaliação das dimensões de cada risco ajuda você a priorizá-los e resolvê-los. Como gerente de riscos de cibersegurança, não é seu trabalho resolver pessoalmente cada risco, mas aconselhar quem é afetado por ele sobre as decisões necessárias. Existem três maneiras de partes afetadas pelo risco responderem a ele: mitigar, transferir ou aceitar. Vamos explorar cada uma delas.

Mitigar o risco

A parte afetada trabalha com o proprietário de um controle para implementar controles de segurança a fim de reduzir o risco com base na sensibilidade do sistema. Por exemplo, um administrador de banco de dados em um hospital trabalha com a equipe de gerenciamento de acessos para implementar uma autenticação de dois fatores no acesso a dados confidenciais de pacientes. A equipe exige que os funcionários acessem o banco de dados usando nome de usuário e senha e um cartão de ID inserido no computador com um chip inteligente e um PIN. Dessa forma, o administrador reduz o risco de um invasor roubar credenciais de funcionários em um email de phishing e acessar dados de pacientes de forma ilícita. 

Transferir o risco

Você decide que o risco exige uma solução técnica muito complicada para sua organização de pequeno porte, ou que não está dentro das suas funcionalidades básicas, e a terceiriza para outra equipe ou empresa. Vamos usar Joe como exemplo, que trabalha em uma equipe de contabilidade com três pessoas. Joe sabe que é importante para sua empresa ter uma conexão segura com a internet pública para evitar a possibilidade de invasores comprometerem as informações financeiras de seus clientes por meio de uma conexão não segura. No entanto, Joe não é um especialista em segurança de internet. Ele decide contratar um serviço de protocolo de internet confiável para gerenciar a segurança de sua conexão à internet com serviços de firewall, detecção e prevenção de intrusos e antivírus. Ele inclui termos no contrato com o fornecedor que estipulam as expectativas de segurança esperadas por ele, mas transfere o risco de operar uma conexão à internet segura ao fornecedor. 

Aceitar o risco

Como todas as organizações operam com recursos limitados, é impossível eliminar todos os riscos completamente. É possível que, após fazer uma avaliação de risco, você conclua que um risco é tão pouco provável que não vale o dispêndio de tempo e dinheiro para eliminá-lo por completo. Ou talvez o projeto não tenha orçamento atualmente para fazer upgrade de um sistema para uma tecnologia mais segura. Nesse caso, você pode aceitar o risco, seja por tempo indeterminado, seja por um período específico após o qual ele será mitigado. A chave é documentar a decisão e o cronograma associado para a eventual mitigação. Isso confirma que a unidade de negócios está gerenciando riscos de maneira deliberada e está rastreando os riscos e seu impacto na postura de risco cibernético geral da organização. Esse exercício também pode ser usado para justificar recursos de pessoal ou orçamentários adicionais para um projeto específico se o risco se mostrar mais urgente do que o identificado anteriormente. 

Agora você conhece os três métodos para gerenciar risco. Vamos discutir como você, gerente de riscos de cibersegurança, usa parcerias para gerenciar riscos de maneira eficiente em toda a organização.

Usar parcerias para gerenciar riscos de maneira eficiente

Ao gerenciar riscos cibernéticos em equipe, sua organização fortalece a postura de segurança cibernética. Assim como um capitão não pode ganhar o jogo sem o resto da equipe, você precisa trabalhar com pessoas em toda a organização para defender o negócio e marcar um gol de segurança. Embora você possa ter um papel principal na escolha das jogadas que trarão sucesso à organização, sem criar parcerias e uma cultura de segurança cibernética generalizada, sua organização pode não ser capaz de ganhar o jogo.

Imagem de um capitão de um time de futebol com seus colegas discutindo a próxima jogada que os ajudará a ganhar o jogo juntos.Marita gerencia riscos de cibersegurança em um banco. Ela usa suas habilidades de comunicação, trabalho em equipe e defesa para criar aceitação, conscientização e responsabilidade a fim de poder gerenciar riscos da melhor forma na organização. Ela pede opiniões tanto das equipes comerciais quanto de tecnologia e confirma que a equipe entende seu papel na implementação e no monitoramento de controles de cibersegurança. Ela trabalha com a equipe administrativa para entender quão essenciais são os vários sistemas e os dados que eles contêm, e com os engenheiros de segurança de sistemas para recomendar e implementar mitigações. Para garantir uma imagem holística do risco em todo o banco, ela se une a pessoas da equipe de privacidade, da equipe de continuidade dos negócios e outras. 

Marita também fala com a equipe de inteligência contra ameaças para entender melhor o panorama de ameaças atual no contexto do setor. Ela trabalha com a equipe que gerencia riscos terceirizados para manter a visibilidade sobre riscos que tenham sido transferidos a fornecedores externos. Ela também colabora com a equipe jurídica para ficar ciente das mudanças legislativas que podem afetar a conformidade da empresa e com a equipe de conscientização e treinamento para ajudar a garantir que os objetivos de segurança sejam entendidos por todos. Ela sabe que a inclusão de diversos pontos de vista dessa e de outras equipes da organização ajuda a proteger melhor a organização como um todo. 

Pronto para analisar o que aprendeu? A verificação de conhecimento não é pontuada, é apenas uma maneira fácil de avaliar o que você absorveu. Para começar, arraste a função na coluna à esquerda até a categoria correspondente à direita. Quando terminar de corresponder todos os itens, clique em Enviar para verificar seu trabalho. Para recomeçar, clique em Reiniciar.

Verificação de conhecimento

Ótimo trabalho! Na próxima unidade, você saberá mais sobre como os gerentes de riscos de cibersegurança detectam riscos, respondem a incidentes e se recuperam deles. Vamos lá!

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback