Segundo Sumedh Thakar, CEO da Qualys, um dos principais desafios dos líderes de Segurança da Informação está em estabelecer um diálogo claro com os demais C-Levels e conselhos administrativos. Para ele, a forma mais eficaz de alinhar essa comunicação é traduzir o risco cibernético em impacto direto ao negócio.
“Para que o risco seja compreendido pela alta gestão, ele precisa ser expresso em uma linguagem comum: dinheiro. Ou seja, deixar claro o quanto um incidente pode representar em perda ou preservação de valor”, reforça o executivo durante a primeira edição do Qualys Cyber Risk Conference Brazil, um evento realizado hoje (16) em São Paulo, em parceria com o Security Leaders.
Na visão de Thakar, o problema é que muitos líderes de SI ainda comunicam-se apenas por meio de alertas, vulnerabilidades e ameaças cibernéticas. “Esses conceitos não necessariamente dialogam com o board”, completa o líder global da Qualys no keynote de abertura do evento.
Para consolidar essa linguagem, continua ele, os CISOs precisam contar com um amplo mapeamento de ativos e fatores de risco, mas apenas isso não é mais suficiente. De acordo com o CEO, é necessário reunir todas essas informações e correlacioná-las adequadamente, unificando todo o conhecimento disponível para ser contextualizado no negócio, para priorizar os objetivos mais críticos de resposta.
Nesse sentido, a liderança de Cyber deve liderar um processo de entendimento com seus pares e o board para definirem quais os riscos capazes de gerar as piores perdas financeiras. Disso nasce a métrica de Valor no Risco (Value at Risk), ou a interação entre o apetite de risco da organização contra a capacidade de reduzir o risco em potencial. Essa ação deve considerar tanto a percepção do negócio quanto da Segurança.
“É fato que jamais alcançaremos um cenário de risco zero, pois a cada transformação que o negócio gerar, novas vulnerabilidades e ameaças serão descobertas e exploradas pelo cibercrime. Por isso, é nossa responsabilidade, como gestores, chamar a atenção do board e dos C-Levels sobre quais são as nossas prioridades. Nem todas as demandas podem ser consideradas críticas, pois isso nos levará à ineficiência”, alerta Thakar.
Caminho para o ROC
Como forma de contribuir para esse importante processo de transição no gerenciamento de risco. O executivo da Qualys sugere transformar os conceitos atuais de Security Operation Center (SOC) para criar contextualização de riscos de negócio sobre as ameaças cibernéticas. Disso, nasce o conceito de Risk Operation Center (ROC), que visa aplicar o monitoramento de ameaças a uma perspectiva de Valor no Risco.
Em um ambiente de ROC, a atuação vai além do monitoramento de ativos e da identificação de ameaças e vulnerabilidades. A partir desse ponto, é essencial construir um contexto de negócio, priorizando os riscos de acordo com diretrizes da alta gestão. Isso permite orquestrar respostas com mais eficiência e fortalecer a gestão de compliance, facilitando eventuais reportes ao board com maior clareza.
“O conceito de ROC se concentra em tirar a Cyber Security de uma situação de corrigir todos os riscos ao mesmo tempo, sem uma noção de qual é, efetivamente, o risco mais crítico. Os Líderes precisam de um novo modelo para avaliar e gerenciar os riscos cibernéticos à companhia, e isso apenas pode ser feito baseado em inteligência profunda de ameaças e comunicação eficiente com o business”, conclui o CEO da Qualys.
