Eu gerencio o meu risco e você?

Na visão de Rangel Rodrigues, o CISO deve endereçar os potenciais riscos e impactos no relacionamento com os parceiros e provedores externos de serviços, que devem ser claros e documentados, principalmente no gerenciamento dos perigos

Compartilhar:

Por Rangel Rodrigues 

 

Recentemente acompanhei um relatório da McKinsey no qual apontava que os Gerentes de Riscos estão voando às cegas, então parei para refletir a razão daquele levantamento e tentei trazer para minha realidade no âmbito corporativo. Sou um Cyber Risk Manager e diariamente tenho que encarar situações extremas para o tratamento de risco de aplicações, posso garantir que não é uma tarefa fácil. Em outras palavras, sou conhecido como a voz de risco e nos dias atuais tenho sido desafiado para analisar perigos de diferentes visões no mundo tecnológico.

 

Temos sido exigidos para avaliar qualquer tipo de situação complexa e cabe estar preparado e atualizado para analisar essas questões. Eu diria que essa posição tem exigido uma combinação de Advisor, Estrategista e Cientista, além de habilidades business acumen, boa comunicação, enfim ser articulado e incisivo é fundamental para ser a voz de risco dentro da organização.

 

Existem diversos frameworks que suportam a implementação do processo de gerenciamento de risco e particularmente desde 2005 tenho visto a grande maioria das empresas usarem o NIST. Agora, há uma certa combinação com FAIR para uma perspectiva de análise quantitativa vs qualitativa, dependendo do contexto em discussão. O propósito aqui não é falar sobre o melhor framework, mas de que forma o processo de gestão de risco é desenhado e conduzido, com suporte top-down. Isso irá determinar o sucesso do processo, caso contrário não adianta ter um risk appetite definido se não há conscientização na cultura da organização.

 

Uma cultura madura com uma gestão de governança e segurança efetiva viabiliza a construção de um modelo de gestão de risco eficaz que irá ajudar o conselho a compreender e endereçar os riscos de segurança versus tecnologia para o melhor nível aceitável para a organização deixando todas as partes felizes. Logo, o CISO deve endereçar os potenciais riscos e possíveis impactos nos relacionamentos com os parceiros e provedores externos de serviços que devem ser claros e devidamente documentados.

 

Diante disso, a combinação de governança de segurança com gestão de segurança proporciona um bom alinhamento estratégico, um processo de gestão de risco maduro, viabiliza a gestão de recursos, performance e entrega de valor para a organização. O interessante é que na história vimos o desenvolvimento deste tema alavancar ao longo dos anos, no qual já mencionei em alguns dos meus artigos publicados neste portal.

 

Neste ano, notamos a evolução da gestão de risco na (i) era dos provedores de Internet, na (ii) era dos Internet Banking, na (iii) era Basiléia e SSAE 16 (antiga SAS70) que agora em SSAE 18, na (iv) era PCI-DSS, (v) depois tivemos um momento instável e estável, então veio a (vi) era cloud chegou com toda força e atualmente vemos a (vii) era Privacy combinada com outras regulamentações como HIPPA, GDPR, LGPD, SOC 2, FedRamp, GLBA, etc. Por que estou mencionando estes pontos? Simplesmente para afirmar que a Gestão de Risco é uma matéria que ajuda na sobrevivência das organizações. É preciso que o risco seja tipificado na alma dos executivos, isto é, a consciência de que a sua sobrevivência no mercado pode ser comprometida, seja por fatores de riscos de reputação, financeiro e, principalmente, perigos relacionados a regulamentações, ransomware, phishing e ameaças internas e entre outros.

 

No entanto, para uma boa prática para gerir os riscos ao meu ver requer alguns pontos de atenção que descrevo abaixo:

 

• Assegure que o processo de gestão de risco esteja suportado a nível top-down; • Tenha uma política de gestão de risco implementada baseado em um framework como NIST RMF, OCTAVE, FAIR, Monte-Carlo;

 

• Ter um processo de governança de segurança integrado com a gestão de segurança (ISMS) e cibersegurança (NIST CSF) e outros frameworks de arquitetura irão viabilizar a construção de um modelo de gestão de risco;

 

• Evangelize a importância da gestão de risco no âmbito corporativo. O negócio precisa entender que o risco de cibersegurança não é um problema de segurança, mas um risco de negócio. É preciso mudar a forma que enxergamos esse processo, pois normalmente o CISO é conhecido como o cara que evita brechas de segurança, é mais que isso, é um líder que facilita a gestão de risco;

 

• A gestão de risco não é um blocker para o negócio, a segurança e gestão de risco permite agilidade e segurança para os produtos e consequentemente gera diferencial competitivo;

 

• Antes de criar um risco (finding) alinhe com o owner o risco o remediation plan e um prazo para o issue ser resolvido, exceto para a opção de “aceitar”;

 

• Defina e tenha uma política com um critério para classificação risco baseado na criticidade da aplicação e dados. Tenha um critério de engagement risk (alto, médio, baixo) e para cada nível tenha pelo menos dois aprovadores, por exemplo, para um risco alto, requer a aprovação de dois VPs, risco médio (Diretor) e risco baixo (Gerente), pois desta forma você como a voz de risco irá conscientizar os líderes para pensar antes de abrir um risco, se abrir o owner estará ciente que deve cumprir o due date ou terá um desafio para defender o risco no comitê de SRC onde poderá ser questionado se não tiver uma plano eficaz;

 

• Pense fora da caixa como gerente de risco e procure combinar as características do estrategista, cientista e o advisor. Sugiro explorar a leitura do artigo que escrevi sobre o tema;

 

• Tenha uma boa solução de GRC para ajudar no processo de gestão de risco, para documentar, risk register, TPRM, supplier risk e entre outros;

 

• Mantenha a chama acessa na supervisão de risco no conselho; dependendo do tamanho da organização pode exigir reuniões periódicas semanais para acompanhamento dos riscos abertos ou solicitação de postergação devido algum impedimento para resolução do issue;

 

• Atraia, desenvolva, treine e retenha colaboradores capazes de liderar o processo de risco;

 

• Defina o risk appetite, risk tolerance, risk heat map, identifique o risco, severidade, priorize, implemente resposta a riscos e crie um portfólio de risco, e lembre-se da equação: Risk Exposure = Impact x Likelihood;

 

• Aproveite das informações do BIA, pois é fundamental para completar a avaliação do cyber risk, considerações chaves, aplicações críticas, dependências;

 

• Tenha um processo transparente que permita a comunicação do risco que facilite o reporte e o engajamento de uma cultura de risco, performance e ajude alavancar a decisões de negócio.

 

Uma cultura de risco clara e transparente será valiosa no momento em que os gerentes de riscos convençam os líderes e o board sobre a importância dessa gestão com a suporte lateral CISO. Não queria reinventar a roda, mas também é essencial um sistema de GRC com uma interface amigável capaz de integrar de dados. Ao mesmo tempo, gerir risco não é um processo comum, é um processo de sobrevivência que dará um oversight sobre a real situação da organização sob o diferencial competitivo da organização no mercado de atuação.

 

Há um provérbio do sábio que diz que “A sabedoria torna o sábio mais poderoso que uma cidade guardada por dez valentes, não basta um exército de soldados se não houver qualidade e competência”. Pois bem, o processo de Gestão de Risco requer diligência com fundamento que devemos governar os riscos que estão sobre a nossa responsabilidade. Diante disso, como você gerencia seu risco?

 

*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP, CCSK, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Senior Security Engineer para uma empresa financeira nos Estados Unidos.

Conteúdos Relacionados

Security Report | Colunas & Blogs

Como integrar Cyber Security, Proteção de dados e DevOps?

Considerando todas as etapas do processo operacional e cada grupo de dados segundo o seu uso presente na empresa, é...
Security Report | Colunas & Blogs

Estamos prontos para o futuro com a IA?

Algumas propostas do mercado de tecnologia, como a chegada da Inteligência Artificial e a migração de todos os players em...
Security Report | Colunas & Blogs

Tendências da Black Hat USA 2024: O que acontece em Vegas não fica em Vegas

O evento direcionado a especialistas e líderes de Segurança da Informação revisitou diversos temas essenciais e em destaque na atualidade...
Security Report | Colunas & Blogs

Brasil: Um terreno fértil para o Cibercrime

De acordo com matéria da Folha de S. Paulo, 4.600 pessoas são alvos de golpes financeiros a cada hora no...