Por Rangel Rodrigues
Recentemente acompanhei um relatório da McKinsey no qual apontava que os Gerentes de Riscos estão voando às cegas, então parei para refletir a razão daquele levantamento e tentei trazer para minha realidade no âmbito corporativo. Sou um Cyber Risk Manager e diariamente tenho que encarar situações extremas para o tratamento de risco de aplicações, posso garantir que não é uma tarefa fácil. Em outras palavras, sou conhecido como a voz de risco e nos dias atuais tenho sido desafiado para analisar perigos de diferentes visões no mundo tecnológico.
Temos sido exigidos para avaliar qualquer tipo de situação complexa e cabe estar preparado e atualizado para analisar essas questões. Eu diria que essa posição tem exigido uma combinação de Advisor, Estrategista e Cientista, além de habilidades business acumen, boa comunicação, enfim ser articulado e incisivo é fundamental para ser a voz de risco dentro da organização.
Existem diversos frameworks que suportam a implementação do processo de gerenciamento de risco e particularmente desde 2005 tenho visto a grande maioria das empresas usarem o NIST. Agora, há uma certa combinação com FAIR para uma perspectiva de análise quantitativa vs qualitativa, dependendo do contexto em discussão. O propósito aqui não é falar sobre o melhor framework, mas de que forma o processo de gestão de risco é desenhado e conduzido, com suporte top-down. Isso irá determinar o sucesso do processo, caso contrário não adianta ter um risk appetite definido se não há conscientização na cultura da organização.
Uma cultura madura com uma gestão de governança e segurança efetiva viabiliza a construção de um modelo de gestão de risco eficaz que irá ajudar o conselho a compreender e endereçar os riscos de segurança versus tecnologia para o melhor nível aceitável para a organização deixando todas as partes felizes. Logo, o CISO deve endereçar os potenciais riscos e possíveis impactos nos relacionamentos com os parceiros e provedores externos de serviços que devem ser claros e devidamente documentados.
Diante disso, a combinação de governança de segurança com gestão de segurança proporciona um bom alinhamento estratégico, um processo de gestão de risco maduro, viabiliza a gestão de recursos, performance e entrega de valor para a organização. O interessante é que na história vimos o desenvolvimento deste tema alavancar ao longo dos anos, no qual já mencionei em alguns dos meus artigos publicados neste portal.
Neste ano, notamos a evolução da gestão de risco na (i) era dos provedores de Internet, na (ii) era dos Internet Banking, na (iii) era Basiléia e SSAE 16 (antiga SAS70) que agora em SSAE 18, na (iv) era PCI-DSS, (v) depois tivemos um momento instável e estável, então veio a (vi) era cloud chegou com toda força e atualmente vemos a (vii) era Privacy combinada com outras regulamentações como HIPPA, GDPR, LGPD, SOC 2, FedRamp, GLBA, etc. Por que estou mencionando estes pontos? Simplesmente para afirmar que a Gestão de Risco é uma matéria que ajuda na sobrevivência das organizações. É preciso que o risco seja tipificado na alma dos executivos, isto é, a consciência de que a sua sobrevivência no mercado pode ser comprometida, seja por fatores de riscos de reputação, financeiro e, principalmente, perigos relacionados a regulamentações, ransomware, phishing e ameaças internas e entre outros.
No entanto, para uma boa prática para gerir os riscos ao meu ver requer alguns pontos de atenção que descrevo abaixo:
• Assegure que o processo de gestão de risco esteja suportado a nível top-down; • Tenha uma política de gestão de risco implementada baseado em um framework como NIST RMF, OCTAVE, FAIR, Monte-Carlo;
• Ter um processo de governança de segurança integrado com a gestão de segurança (ISMS) e cibersegurança (NIST CSF) e outros frameworks de arquitetura irão viabilizar a construção de um modelo de gestão de risco;
• Evangelize a importância da gestão de risco no âmbito corporativo. O negócio precisa entender que o risco de cibersegurança não é um problema de segurança, mas um risco de negócio. É preciso mudar a forma que enxergamos esse processo, pois normalmente o CISO é conhecido como o cara que evita brechas de segurança, é mais que isso, é um líder que facilita a gestão de risco;
• A gestão de risco não é um blocker para o negócio, a segurança e gestão de risco permite agilidade e segurança para os produtos e consequentemente gera diferencial competitivo;
• Antes de criar um risco (finding) alinhe com o owner o risco o remediation plan e um prazo para o issue ser resolvido, exceto para a opção de “aceitar”;
• Defina e tenha uma política com um critério para classificação risco baseado na criticidade da aplicação e dados. Tenha um critério de engagement risk (alto, médio, baixo) e para cada nível tenha pelo menos dois aprovadores, por exemplo, para um risco alto, requer a aprovação de dois VPs, risco médio (Diretor) e risco baixo (Gerente), pois desta forma você como a voz de risco irá conscientizar os líderes para pensar antes de abrir um risco, se abrir o owner estará ciente que deve cumprir o due date ou terá um desafio para defender o risco no comitê de SRC onde poderá ser questionado se não tiver uma plano eficaz;
• Pense fora da caixa como gerente de risco e procure combinar as características do estrategista, cientista e o advisor. Sugiro explorar a leitura do artigo que escrevi sobre o tema;
• Tenha uma boa solução de GRC para ajudar no processo de gestão de risco, para documentar, risk register, TPRM, supplier risk e entre outros;
• Mantenha a chama acessa na supervisão de risco no conselho; dependendo do tamanho da organização pode exigir reuniões periódicas semanais para acompanhamento dos riscos abertos ou solicitação de postergação devido algum impedimento para resolução do issue;
• Atraia, desenvolva, treine e retenha colaboradores capazes de liderar o processo de risco;
• Defina o risk appetite, risk tolerance, risk heat map, identifique o risco, severidade, priorize, implemente resposta a riscos e crie um portfólio de risco, e lembre-se da equação: Risk Exposure = Impact x Likelihood;
• Aproveite das informações do BIA, pois é fundamental para completar a avaliação do cyber risk, considerações chaves, aplicações críticas, dependências;
• Tenha um processo transparente que permita a comunicação do risco que facilite o reporte e o engajamento de uma cultura de risco, performance e ajude alavancar a decisões de negócio.
Uma cultura de risco clara e transparente será valiosa no momento em que os gerentes de riscos convençam os líderes e o board sobre a importância dessa gestão com a suporte lateral CISO. Não queria reinventar a roda, mas também é essencial um sistema de GRC com uma interface amigável capaz de integrar de dados. Ao mesmo tempo, gerir risco não é um processo comum, é um processo de sobrevivência que dará um oversight sobre a real situação da organização sob o diferencial competitivo da organização no mercado de atuação.
Há um provérbio do sábio que diz que “A sabedoria torna o sábio mais poderoso que uma cidade guardada por dez valentes, não basta um exército de soldados se não houver qualidade e competência”. Pois bem, o processo de Gestão de Risco requer diligência com fundamento que devemos governar os riscos que estão sobre a nossa responsabilidade. Diante disso, como você gerencia seu risco?
*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP, CCSK, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Senior Security Engineer para uma empresa financeira nos Estados Unidos.