O gerenciamento de riscos cibernéticos, também conhecido como gerenciamento de riscos de segurança cibernética, é o processo de identificação, priorização, gerenciamento e monitoramento de riscos para sistemas de informação. Empresas de todos os setores utilizam o gerenciamento de riscos cibernéticos para proteger sistemas de informações contra ataques cibernéticos e outras ameaças físicas e digitais.
O gerenciamento de riscos cibernéticos tornou-se parte vital dos esforços mais amplos de gerenciamento de riscos corporativos. Empresas de todos os setores dependem da tecnologia da informação para realizar as principais funções de negócios atualmente, expondo-as a cibercriminosos, erros de funcionários, desastres naturais e outras ameaças à segurança cibernética. Essas ameaças podem colocar sistemas críticos offline ou causar estragos de outras maneiras, levando à perda de receita, roubo de dados, danos à reputação no longo prazo e multas regulatórias.
Esses riscos não podem ser eliminados, mas os programas de gerenciamento de riscos cibernéticos podem ajudar a reduzir o impacto e a probabilidade das ameaças. As empresas usam o processo de gerenciamento de riscos de segurança cibernética para identificar suas ameaças mais críticas e selecionar as medidas de segurança de TI corretas baseadas em suas prioridades de negócios, infraestruturas de TI e níveis de recursos.
É difícil avaliar o risco cibernético com total certeza. As empresas raramente têm visibilidade total das táticas dos cibercriminosos, de suas próprias vulnerabilidades de rede ou de riscos mais imprevisíveis, como clima severo e negligência dos funcionários. Além disso, os mesmos tipos de ciberataques podem ter consequências diferentes entre as empresas. As violações de dados no setor de saúde custam, em média, US$ 10,10 milhões, enquanto as violações no setor de hotelaria custam US$ 2,9 milhões, de acordo com o relatório Cost of a Data Breach (o custo da violação de dados) da IBM.
Por esses motivos, autoridades como o National Institute of Standards and Technology (NIST) sugerem abordar o gerenciamento de riscos cibernéticos como um processo contínuo e iterativo em vez de um evento único. A revisão regular do processo permite que uma empresa incorpore novas informações e responda a novos desenvolvimentos no cenário de ameaças mais amplo e em seus próprios sistemas de TI.
Para garantir que as decisões de risco sejam responsáveis pelas prioridades e experiências de toda a organização, o processo normalmente é tratado por uma combinação das partes interessadas. As equipes de gerenciamento de riscos cibernéticos podem incluir diretores, líderes executivos como CEO e diretor de segurança da informação (CISO), membros da equipe de segurança e TI, da área jurídica e de RH e representantes de outras unidades de negócios.
As empresas podem usar muitas metodologias de gerenciamento de risco cibernético, incluindo o NIST Cybersecurity Framework (NIST CSF) e o NIST Risk Management Framework (NIST RMF). Embora esses métodos sejam ligeiramente diferentes, todos eles seguem um conjunto semelhante de etapas básicas.
Enquadramento de riscos é o ato de definir o contexto no qual as decisões de risco são tomadas. Com o enquadramento dos riscos desde o início, as empresas podem alinhar suas estratégias de gestão de riscos com suas estratégias gerais de negócios. Esse alinhamento ajuda a evitar erros ineficazes e caros, como a implementação de controles que interfiram nas principais funções de negócios.
Para enquadrar o risco, as empresas definem coisas como:
O escopo do processo: quais sistemas e ativos serão examinados? Que tipos de ameaças serão analisadas? Em que cronograma o processo está trabalhando (por exemplo, riscos nos próximos seis meses, riscos no próximo ano etc.)?
Inventário de ativos e priorização: quais dados, dispositivos, software e outros ativos estão na rede? Quais desses ativos são os mais críticos para a organização?
Recursos organizacionais e prioridades: Quais sistemas de TI e processos de negócios são mais importantes? Quais recursos, financeiros ou outros, a empresa comprometerá com o gerenciamento de riscos cibernéticos?
Requisitos legais e regulamentares: que leis, padrões ou outros mandatos a empresa deve cumprir?
Essas e outras considerações dão à empresa diretrizes gerais para a tomada de decisões de risco. Também ajudam a empresa a definir sua tolerância a riscos, ou seja, os tipos de riscos que pode aceitar e os tipos que não pode.
As empresas usam avaliações de risco de segurança cibernética para identificar ameaças e vulnerabilidades, estimar seus possíveis impactos e priorizar os riscos mais críticos.
A forma como uma empresa conduz uma avaliação de risco dependerá das prioridades, do escopo e da tolerância ao risco definidos na etapa de enquadramento. A maioria das avaliações analisa o seguinte:
Ameaças são pessoas e eventos que podem interromper um sistema de TI, roubar dados ou comprometer a segurança das informações. As ameaças incluem ataques cibernéticos intencionais (como ransomware ou phishing) e erros dos funcionários (como o armazenamento de informações confidenciais em bancos de dados não seguros). Desastres naturais, como terremotos e furacões, também podem ameaçar sistemas de informação.
Vulnerabilidades são falhas ou fraquezas de um sistema, processo ou ativo que as ameaças podem explorar para causar danos. As vulnerabilidades podem ser técnicas, como um firewall configurado incorretamente que permite malware em uma rede ou um bug do sistema operacional que os hackers podem usar para assumir o controle remoto de um dispositivo. As vulnerabilidades também podem surgir de políticas e processos fracos, como uma política de controle de acesso em atraso que permite que as pessoas acessem mais ativos do que precisam.
Impactos são o que uma ameaça pode causar a uma empresa. Uma ameaça cibernética pode interromper serviços essenciais, levando a tempo de inatividade e perda de receita. Os hackers podem roubar ou destruir dados confidenciais. Os golpistas podem usar ataques de comprometimento de e-mail comercial para enganar os funcionários e fazê-los enviar dinheiro.
Os impactos de uma ameaça podem se espalhar além da organização. Os clientes que tiverem suas informações de identificação pessoal (PII) roubadas durante uma violação de dados também são vítimas do ataque.
Como pode ser difícil quantificar o impacto exato de uma ameaça à segurança cibernética, as empresas geralmente usam dados qualitativos, como tendências históricas e histórias de ataques a outras organizações, para estimar o impacto. A importância dos ativos também é um fator: Quanto mais crítico for um ativo, mais caros serão os ataques contra ele.
O risco mede a probabilidade de uma possível ameaça afetar uma organização e o dano que essa ameaça causaria. As ameaças que provavelmente ocorrerão e causarão danos significativos são as mais arriscadas, enquanto as ameaças improváveis que causariam danos menores são as menos arriscadas.
Durante a análise de riscos, as empresas consideram vários fatores para avaliar a probabilidade de uma ameaça. Os controles de segurança existentes, a natureza das vulnerabilidades de TI e os tipos de dados que uma empresa detém podem influenciar a probabilidade de ameaça. Até mesmo o setor de uma empresa pode desempenhar um papel: o Índice X-Force Threat Intelligence encontrou que organizações nos setores de produção e finanças enfrentam mais ataques cibernéticos do que organizações em transporte e telecomunicações.
As avaliações de risco podem utilizar fontes de dados internas, como sistemas de gerenciamento de eventos e informações de segurança (SIEM) e inteligência externa contra ameaças. Eles também podem procurar ameaças e vulnerabilidades na cadeia de suprimentos da empresa, pois os ataques aos fornecedores podem afetar a empresa.
Ao ponderar todos esses fatores, a empresa pode criar seu perfil de risco. O perfil de risco apresenta um catálogo dos riscos em potencial da empresa, priorizando-os com base no nível crítico. Quanto mais arriscada for uma ameaça, mais crítica será para a organização.
A empresa utiliza os resultados da avaliação de risco para determinar como responderá a riscos em potencial. Os riscos considerados altamente improváveis ou de baixo impacto podem ser aceitos, pois o investimento em medidas de segurança pode ser mais caro do que o próprio risco.
Os riscos prováveis e os riscos com impactos mais elevados normalmente serão abordados. As possíveis respostas ao risco são:
A mitigação é o uso de controles de segurança que dificultam a exploração de uma vulnerabilidade ou minimizam o impacto da exploração. Os exemplos incluem a colocação de um sistema de prevenção de intrusão (IPS) em torno de um ativo valioso e a implementação de planos de resposta a incidentes para detectar e resolver rapidamente as ameaças.
Remediar significa solucionar totalmente uma vulnerabilidade para que ela não possa ser explorada. Alguns exemplos são as correções de erros de software ou a desativação de um ativo vulnerável.
Se a mitigação e a correção não forem viáveis, a empresa poderá transferir a responsabilidade pelo risco para outra parte. Comprar uma apólice de seguro cibernético é a forma mais comum que as empresas utilizam para transferir riscos.
A organização monitora seus novos controles de segurança para verificar se funcionam conforme o pretendido e satisfazem os requisitos regulamentares relevantes.
A organização também monitora o cenário de ameaças mais amplo e seu próprio ecossistema de TI. Mudanças em qualquer um deles, como o surgimento de novas ameaças e a inclusão de novos ativos de TI, podem abrir novas vulnerabilidades ou tornar obsoletos os controles que antes eram eficazes. Mantendo a vigilância constante, a empresa pode ajustar seu programa de segurança cibernética e sua estratégia de gerenciamento de riscos praticamente em tempo real.
Como as empresas passaram a usar tecnologia para tudo, desde operações cotidianas até processos essenciais para os negócios, seus sistemas de TI se tornaram maiores e mais complexos. A explosão dos serviços de nuvem, a ascensão do trabalho remoto e a crescente dependência de provedores de serviços de TI de terceiros trouxeram mais pessoas, dispositivos e software para a rede média da empresa. À medida que um sistema de TI cresce, também cresce a sua superfície de ataque. As iniciativas de gerenciamento de riscos cibernéticos oferecem às empresas uma maneira de mapear e gerenciar suas superfícies de ataque em constante mudança, melhorando a postura de segurança.
O cenário de ameaças mais amplo também evolui constantemente. Todos os meses, cerca de duas mil novas vulnerabilidades são adicionadas ao National Vulnerability Database do NIST (link fora do ibm.com). Milhares de novas variantes de malware são detectadas mensalmente (link fora de ibm.com) são detectadas mensalmente e esse é apenas um tipo de ameaça cibernética.
Seria pouco realista e financeiramente impossível para uma empresa fechar todas as vulnerabilidades e combater todas as ameaças. O gerenciamento de riscos cibernéticos pode oferecer às empresas uma maneira mais prática de gerenciar riscos, concentrando os esforços de segurança da informação nas ameaças e vulnerabilidades mais propensas a afetá-las. Dessa forma, a empresa não aplica controles caros a ativos de baixo valor e não críticos.
As iniciativas de gestão de riscos cibernéticos também podem ajudar as organizações a cumprir o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), o Padrão de Segurança de Dados do Setor de Cartão de Pagamento (PCI-DSS) e outros regulamentos. Durante o processo de gestão de riscos cibernéticos, as empresas consideram esses padrões quando projetam seus programas de segurança. Os relatórios e dados gerados durante a fase de monitoramento podem ajudar as empresas a provar que fizeram a análise detalhada durante as auditorias e investigações pós-violação.
Às vezes, as empresas podem ser obrigadas a seguir estruturas específicas de gerenciamento de riscos. As agências federais dos EUA devem aderir ao NIST RMF e ao NIST CSF. Os contratados federais também podem precisar cumprir essas estruturas, já que os contratos governamentais geralmente usam padrões NIST para definir requisitos de segurança cibernética.
Supere ataques com um conjunto de segurança conectado e moderno. O portfólio do QRadar é incorporado à IA de nível empresarial e oferece produtos integrados para segurança de terminais, gerenciamento de registros, SIEM e SOAR, tudo com uma interface de usuário comum, insights compartilhados e fluxos de trabalho conectados.
A caça proativa a ameaças, o monitoramento contínuo e uma profunda investigação das ameaças são apenas algumas das prioridades que um departamento de TI já adota. Ter uma equipe confiável de resposta a incidentes preparada pode reduzir seu tempo de resposta, minimizar o impacto de um ataque cibernético e ajudá-lo a recuperar-se mais rápido.
Gerencie os riscos de TI estabelecendo estruturas de governança que aumentem a maturidade da segurança cibernética com uma abordagem integrada de governança, risco e conformidade (GRC)
O relatório Custo da violação de dados apresenta as percepções mais recentes sobre o crescente cenário de ameaças e oferece recomendações sobre como poupar tempo e limitar perdas.
Encontre dados que ajudam a entender como os agentes de ameaças estão realizando ataques e como proteger sua organização de forma proativa.
Gestão de riscos é o processo de identificar, avaliar e controlar riscos financeiros, legais, estratégicos e de segurança para o capital e os lucros de uma organização.