Gestão de riscos cibernéticos

Nos dias de hoje temos infraestrutura, aplicativos e dados, além de ambientes físico, virtual e mobile... recursos diversos para facilitar e viabilizar o trabalho. Mas junto com a evolução dos escritórios, veio uma interminável lista de riscos e brechas de segurança, muitas ainda a serem identificadas.

A rápida evolução das ciberameaças está criando uma onda ameaçadora na gestão de riscos e tornando obsoletas ferramentas e metodologias tradicionais de segurança da informação, forçando as empresas a revisarem não só os métodos, mas todos os aspectos organizacionais - procedimentos, políticas e priorizações - a curto prazo. Já os profissionais de segurança estão mudando a maneira de pensar em relação à gestão destes novos riscos cibernéticos.

Em vista do cenário, seguem algumas dicas:

• Modifique e expanda os limites estabelecidos para a gestão de riscos cibernéticos, a fim de ser capaz de ter
  uma definição objetiva e clara, classificando adequadamente as novas ameaças e suas possíveis consequências.

• Interprete as normas, as melhores práticas, regulamentos e contratos com o objetivo de deixar claro os riscos
  e suas consequências e o que é útil e aplicável, do ponto de vista operacional.

• Defina os riscos cibernéticos e suas contramedidas (e revise constantemente).

• Defina o seu próprio modelo de Gestão de Risco de Cibersegurança a fim de comparar os dados x ameaças cibernéticas (e constantemente atualize-o para manter em conformidade).

• Desenvolva a capacidade de medir, em tempo real, frequência e perigo de ameaças emergentes para que possa nutrir sua base de inteligência (Threat Intelligence), a fim de obter uma avaliação precisa do risco atual cibernético x sua realidade. Dentro deste item, avalie também atividades de compartilhamento de informações com seus colaboradores, CSIRTs, instituições e organizações como CERT, First e etc.

• Desenvolva e enriqueça informações sobre evolução das ameaças em relação ao seu modelo de Gestão de Riscos, considerando o que acontece dentro de sua organização através de monitoramento contínuo, para não repetir problemas conhecidos.

• Antecipe as ameaças cibernéticas através de processos bem estabelecidos para o gerenciamento proativo, rápido e decisivo dos incidentes que possam ocorrer.

• Certifique-se de que os resultados das análises não permaneçam restritos somente às áreas técnicas. Compartilhe-os deixando todos os envolvidos cientes dos problemas detectados durante a análise.

• Crie uma base de conhecimentos sobre as lições aprendidas durante a criação do modelo de gestão de risco em cibersegurança.

• Apresente os resultados para a alta direção e ao CSO para que seja realizada uma definição eficiente das estratégias a longo prazo, das metas e dos processos em relação aos riscos cibernéticos.

É fundamental que as pessoas e organizações passem a entender a verdadeira importância de trabalhar para manter a segurança dos dados pessoais e corporativos. Novos desafios para o setor de segurança da informação são lançados todos os dias, forçando especialistas de segurança a ampliarem ainda mais o perímetro de segurança da informação.

Quando não possível fazer isso tudo com equipe própria, uma vez que requer muito tempo e equipe especializada, a contratação de serviços gerenciados de segurança pode ser um caminho eficiente e que viabiliza os cuidados de cibersegurança necessários.