À medida que as empresas atingem novos níveis de digitalização, possibilitados pela conectividade mais rápida, o uso de dados oferece uma oportunidade significativa para monitorar, analisar, prever e mitigar melhor os riscos. No entanto, os mesmos ativos apresentam novas vulnerabilidades para serem exploradas pelos agentes de ameaças cibernéticas, tornando fundamental a proteção dos dados e dos sistemas que os processam, transferem e armazenam.
A segurança cibernética está entre uma das principais prioridades no mundo todo, de acordo com a mais recente pesquisa Annual Global CEO Survey da PwC, ficando atrás apenas da pandemia em termos de preocupações extremas. Portanto, a estratégia de gestão de risco em segurança cibernética não deve mais ser vista como uma preocupação exclusiva do CTO e do diretor de TI, mas deve estar também na agenda de todas as cadeias de fornecimento e dos diretores técnicos.
Abordagem proativa à avaliação de risco
Os dados têm o potencial de transformara gestão de risco e a resiliência. As ferramentas corretas de dados, análises e relatórios podem ajudar a estabelecer onde há mais probabilidade de ocorrer um risco no futuro, permitindo a concentração de recursos nas áreas em que há maior valor envolvido. O uso dessas métricas também pode ajudar a evitar a questão emocional envolvida na tomada de decisões: os riscos que acreditamos serem os maiores nem sempre são os que exigem um acompanhamento mais próximo.
Se podemos demonstrar que um componente ou uma técnica está mais vulnerável a falha, talvez não faça sentido inspecionar ou auditar da mesma maneira orientada por um cronograma. Da mesma forma, métodos mais eficientes podem ser desenvolvidos para áreas de menor risco, liberando os recursos para que assegurem e se concentrem nas atividades de maior risco. Um parceiro de garantia digital experiente pode oferecer consultoria sobre quais dados monitorar e como analisar e agir em relação a eles.
Necessidade de uma transformação digital coesa
A oportunidade apresentada pela transformação digital é significativa, mas a experiência nos diz que a implementação pode ser desafiadora e, se abordada de maneira fragmentada, provavelmente não produzirá o impacto esperado. Um estudo de 2020 revelou que, dentre os upgrades digitais implementados no início da pandemia, 59% exigiam correções de curto prazo para solucionar problemas decorrentes da implantação às pressas. Isso poderia ter sido evitado se a garantia e a mitigação de riscos tivessem sido melhor integradas ao processo de gestão de mudanças.
Um erro comum é adotar uma abordagem voltada à tecnologia, implantando-a sem um objetivo bem definido. Fundamentalmente, as organizações que buscam digitalizar suas operações e programas de avaliação de risco devem adotar como ponto de partida os problemas que elas querem solucionar, não a adoção de tecnologia ou fonte de dados que elas acreditam que estejam faltando. Isso exige uma estratégia de avaliação digital coesa que inclua a combinação certa de pessoas, processos e tecnologia.
Dados da cadeia de suprimentos e risco de segurança cibernética
A digitalização crescente e os fluxos de dados aumentam as vulnerabilidades potenciais que podem ser exploradas por agentes de ameaças mal-intencionados. Os fornecedores são uma fonte vital de dados para qualquer empresa que queira obter uma visão completa de suas operações e garantia de qualidade. Porém, essa cadeia de fornecimento digital também precisa de garantia de segurança cibernética. Ao avaliar a cadeia de fornecimento, as organizações precisam estar cientes não apenas de sua própria estratégia de gestão de risco em segurança cibernética, mas também da possibilidade de surgimento de ameaças cibernéticas.
Nos últimos anos, vimos uma mudança no cenário de ameaças cibernéticas com ransomware, que não apenas dobraram em frequência, contabilizando 10% de todas as violações, mas que se tornam cada vez mais direcionadas às cadeias de fornecimento por meio do ransomware dormente. Além de obterem privilégios na rede do host, esses ataques também observam como todo o ecossistema pode ser afetado. A natureza global das cadeias de fornecimento aumenta o impacto potencial desses ataques, tornando ainda mais importante a avaliação de riscos na segurança cibernética.
Rumo ao monitoramento contínuo
Nesse ambiente, as auditorias tradicionais e uma avaliação anual de riscos de segurança cibernética não são mais adequadas, pois fornecem apenas um instantâneo dos sistemas em um momento específico, sem considerar novas vulnerabilidades ou alterações no sistema necessárias nesse meio tempo.
De modo semelhante, muitas organizações optaram no passado por transferir a gestão de risco em segurança cibernética para um provedor de seguros. Porém, como o volume e a sofisticação dos ataques cibernéticos aumentaram os prêmios, as seguradoras exigem cada vez mais que as organizações mitiguem proativamente os riscos para manter sua cobertura. O investimento em avaliação robusta pode até reduzir o custo da apólice de seguro.
Uma solução para esses dois problemas é o monitoramento contínuo de controles, que permite que as organizações rastreiem, em tempo real, os dados necessários para uma avaliação de risco em segurança cibernética, incluindo aqueles obtidos de fornecedores. As plataformas e painéis de conhecimento das ameaças podem facilitar uma abordagem de monitoramento contínuo e proativo.
Avaliação colaborativa e em tempo real
Adotar uma abordagem colaborativa com fornecedores e especialistas pode ajudar uma organização fazer avanços significativos no desenvolvimento de uma abordagem mais inteligente para a avaliação de risco e no estabelecimento da avaliação apropriada de informações em segurança cibernética.
A exigência de certificação em relação aos padrões globais de sistemas de gestão, como a ISO 27001, e o direito de auditar e avaliar a segurança de TI fazem parte de muitos acordos contratuais. O Framework de Segurança Cibernética do NIST (National Institute of Standards and Technology) também está ganhando terreno como um padrão global que leva em consideração a necessidade de observar os controles dos fornecedores. Isso proporciona vantagem mútua para ambas as partes, com os compradores ajudando na conscientização e formação continuada dos fornecedores, aumentando a competência e a resiliência em toda a cadeia. A mudança para a avaliação digital e um modelo de monitoramento contínuo também tem o potencial de reduzir a necessidade de qualquer custo e interrupção criados por inspeções presenciais desnecessárias ao auditar a cadeia de fornecimento.
Considerando que as decisões são tomadas em relação a fornecedores, desenvolvimento de novos produtos e crescimento em novas localizações geografias e territórios, a segurança cibernética deve fazer parte da discussão. A gestão de risco em segurança cibernética deve fazer parte de uma estratégia de avaliação robusta e contínua, não sendo apenas um ponto de verificação a ser cumprido no estágio inicial de integração.
Conclusão
À medida que a indústria se digitaliza, cresce a necessidade de uma avaliação mais inteligente e em tempo real em relação aos riscos tradicionais e às ameaças cibernéticas. Tudo isso aponta para a necessidade de integrar a resiliência cibernética aos programas de avaliação de risco digital de modo personalizado para a empresa, abordando as ameaças conhecidas e considerando aquelas que ainda são desconhecidas. O monitoramento contínuo e colaborativo de dados operacionais e segurança da informação, vulnerabilidades e ameaças tem o potencial de aumentar a mitigação dos riscos e a eficiência e facilitar a tomada de decisões mais conscientes.
ESTUDOS DE CASO
Com quem trabalhamos
Ajudamos empresas em dezenas de setores a avançar e atingir metas inéditas. Como podemos ajudá-lo?
