Por Rangel Rodrigues*
Há mais de 5 anos atuando na posição de BISO, tenho aprendido a diferenciar entre o que pode e não pode ser feito. Nisso, o mais importante é saber dizer SIM para algumas situações com condições embutidas, pois dizer NÃO pode significar impactos diretos na sua carreira.
Pensando mais sobre este ponto, me fez entender que o mundo corporativo, assim como uma bola de cristal, em um momento está brilhando, no outro está apagada. O segredo é identificar as oportunidades neste meio tempo, buscando equilíbrio entre a Segurança dos ativos e a garantia de manter o negócio funcional.
A mentalidade opressora dos times de Segurança da Informação tem chegado ao seu estado crítico: ou você entende a linguagem dos stakeholders e aprende a comunicar os riscos com parceria, definindo o que é prioridade, ou seu destino será o abismo sem autonomia de voz em uma mesa de decisão. Então gostaria de salientar alguns pontos para melhor compreensão.
Encontre a equação de risco
Não é suficiente conhecer o ambiente com uma mente de hacker se não souber sintetizar entre o que é prioridade para o negócio e como deve ser protegido. Você identificou um risco, usou a combinação de métodos de análise qualitativa e quantitativa como FAIR, agora seu dever é conjugar o verbo do risco para os executivos. Isso inclui apontar qual é o risk target, isto é, qual é o nível ótimo de risco: Quanto risco a empresa está disposta a aceitar (risk appetite), quais são as fronteiras de desvio aceitáveis (risk tolerance) e qual o máximo que pode ser absorvido (risk capacity).
Entendendo o fundamento da cultura de risco
Em certo momento, tive que aprender a ouvir e discernir os pensamentos dos stakeholders. Em uma conversa com o presidente de uma organização, em um dos seus afiliados, fui indagado: qual a sua recomendação e o que podemos fazer para manter nosso ambiente seguro e atender os requisitos dos nossos reguladores?
Não é fácil responder a uma pergunta desta sem ter visibilidade dos riscos atuais presentes no ambiente. Mas, pela pergunta, consegui captar que uma das maiores preocupações era atender os reguladores locais e garantir a proteção dos clientes. Naquele momento, percebi que a cultura de risco já parecia estar implantada na raiz, então meu papel era mapear os riscos com stakeholders e owners das aplicações críticas, além de definir o que é prioritário segundo os requerimentos regulatórios e industriais.
Aqui, foi primordial entender com os stakeholders o nível geral de risco que a organização estava disposta a aceitar, alinhado à estratégia e objetivos de negócio e os limites aceitáveis para riscos específicos. De qualquer maneira, os thresholds mensuráveis e fronteiras colaboram para guiar em tomadas de decisões operacionais. Em outras palavras, o apetite de risco é a chave para guiar a estratégia de risco e decisões do dia a dia.
Manipulando trade-offs
Como dito acima, a chave é buscar um equilíbrio entre o nível de risco aceitável. Ser um bom advisor é dizer também SIM para algumas situações com condicionantes, atentando sempre para os níveis de risk tolerance e risk appetite definidos pela alta direção. Ter em mãos estes dados torna menos sangrento o processo de transparência e tomada de decisão, relembrando que a decisão de aceitar, mitigar, transferir ou rejeitar é sempre dos stakeholders, e não do time de infosec.
Todavia, o ponto chave é conhecer bem o inimigo, identificando os riscos e mapeando os atores de ameaças, todos os métodos de ataques e categorias de impacto ao negócio. Sem isso, não é possível priorizar nem proteger de forma eficaz.
Imagine um sistema de pagamento que precisa estar em conformidade com o PCI-DSS e manipula dados sensíveis. Durante o pen testing, foram identificadas vulnerabilidades com input validation no código fonte e ausência de alguns controles na autenticação com API. O negócio pressiona com um deadline agressivo, mas o tempo de remediação pode estourar o timeframe.
Como advisor, você executa uma análise de risco, mapeia a classificação e criticidade do sistema para o negócio, entende os requerimentos de proteção, os riscos e impactos, apresenta em um Power Point da situação, como pode ser remediado e o timeframe combinando com as expectativas dos stakeholders.
Três cenários são propostos: primeiro, o melhor cenário e recomendável, o controle é implementado e o risco mitigado. Segundo, um cenário aceitável dentro da curva do apetite de risco, um controle compensatório é aplicado até que reduza mais o risco. E terceiro, que seria uma redução do nível de controle, mas ultrapassa a barreira aceitável, o que não é recomendado. Meu papel aqui é dar transparência sobre o real impacto e cabe ao owner do risco decidir qual o melhor caminho a seguir.
A tomada de decisão pode ser facilitada caso se apresente uma combinação da probabilidade do risco se concretizar em caso de uma ação, contra alguma expectativa com números mais reais. Algo do tipo, a finding poderia ocasionar a perda da certificação ou uma multa do regulador, que pode custar alto para a organização, abordar a linguagem de ROI, receita e impacto no cliente. Portanto, esta visibilidade e transparência são caminhos viáveis para gerir uma negociação de risco com o negócio.
Conectando a arquitetura e risco com guard-rails
O alicerce de um prédio só poderá resistir a uma forte tempestade se tiver seguido os parâmetros apropriados. Por isso, a escolha do framework é essencial, mas vale uma combinação dependendo do cenário do ambiente tecnológico. É fato que NIST e ISO são os principais, mas se olharmos para diferentes aspectos de domínios, é importante considerar o uso de cada framework adequado ao seu escopo. Se o objetivo é proteger uma aplicação de Inteligência Artificial rodando em um ambiente de IaaS (cloud), segue o com o NIST AI RMF, ISO 42001, OWASP LLM, MITRE ATLAS, CSA AI MRM, etc.
Então, é preciso reforçar que a gestão de risco começa por entender o que precisa ser protegido, quais dados estão no contexto e assim definir os blocos fundamentais para todo o resto da arquitetura. Normalmente, os arquitetos precisam visualizar todo o contexto da pirâmide, e noto que todos os agentes de infosec que sabem combinar a arquitetura com a maneira que gere o risco terão o caminho mais fácil para atingir o nível de risco aceitável e esperado.
Enfrentando resistências
Imagine uma situação em que se é designado com a missão de entender as preocupações de segurança em uma afiliada do banco e ajudá-los a elevar a maturidade quanto as melhores práticas da indústria e reguladores. Logo inicialmente, você chega com muita energia e quer ajudar, conversa com os stakeholders e times de tecnologia, faz uma avaliação de riscos e identifica oportunidades de melhorias e propõe recomendações e transparência para a alta direção. Neste momento, seguir com cuidado, colocando o pé no freio e, em alguns casos, ouvir primeiro e estudar o ambiente é agir com sabedoria para evitar resistências em resolver um risco por parte dos responsáveis.
A ação adequada é dar um passo para trás, entender as preocupações e não ser um gatekeeper, mas um business enabler, ou um facilitador para o risco aceitável. Mesmo que você tenha percebido a falsa sensação de segurança, a real visibilidade do risco era o ponto do iceberg escondido, não visível aos stakeholders.
O caminho é fortificar a comunicação e desenvolver uma parceria com os stakeholders, criando e fortalecendo uma cultura de risco. Lembra do apetite e tolerância de risco? A habilidade de articulação e intermediar em todas as situações, entendendo a dor dos stakeholders irá permitir uma quebra de paradigma, indicando que você está ali não para apontar o dedo, mas como um facilitador para a continuidade das operações de negócios por meio de um modelo de arquitetura segura e com risco gerenciável.
Não podemos considerar o tratamento isolado, pois não é suficiente. É necessário combinar estratégias, gestão de risco com controles e sempre dentro do nível de tolerância, documentado e monitoramento contínuo.
Por fim, o que aprendi na função de BISO é que a melhor abordagem de risco nem sempre é dizer “não”, mas é encontrar o ponto de equilíbrio (trade-off). Não seja apenas um agente tecnológico, mas um parceiro de negócios, além da combinação entre a arquitetura desejada e como gerimos o risco, pois é um programa contínuo, e o sucesso depende da governança clara, métricas mensuráveis e risk ownership definido.
Os executivos precisam de tendências para tomadas de decisão e, portanto, métricas direcionam as decisões. A combinação entre KPI e KRI irá agregar informações sobre os alertas antes que os incidentes ocorram e mostrará como os controles estão funcionando.
Entretanto, a ideia é começar com o básico, ouvindo, articulando e evoluindo incrementalmente, definindo o responsável por cada risco, e assegurando que cada risk owner tenha autonomia para a tomada de decisão. Nunca esqueça que sem ownership não existe governança real, é apenas um mero teatro de compliance.
Como as escrituras do livro do sábio dizem: Como uma cidade derrubada, sem muros, assim é aquele que não tem domínio sobre o seu espírito. Quais são os guardrails que protegem os limites da fronteira onde estão os ativos de valor da sua organização?
Pense nisso…
*Rangel Rodrigues é advisor e security evangelist em Segurança da Informação, CISSP, CCSP, CGRC, CRISC, CCISO, CCSK, CCTZ, TAISE, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA e Cyber Risk Management pela Harvard University. Tem MBA em Gestão de TI pela FIA-USP e é professor de Pós-Graduação em Gestão de Cibersegurança e Riscos Tecnológicos na FIA, colaborador da ISC2 e Cloud Security Alliance (CSA) para a certificação CCSK e materiais como o Security Guidance for Critical Areas of Focus in Cloud Computing v5.
