top of page

Você sabia que o Software INTERISK já tem uma categoria específica para as empresas gerir os Riscos Cibernéticos.

Antonio Celso Ribeiro Brasiliano, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS

Presidente da Brasiliano INTERISK

Novembro | 2019

Riscos Cibernéticos é uma das grandes preocupações da Diretoria e Conselho de Administração. Por isso é importante ter um processo estruturado e software para a gestão de riscos cibernéticos.

O nosso Sistema INTERISK, único do mercado que possui 10 Módulos em Governança, Riscos e Compliance: 1. Gestão de Riscos Corporativos – GRC; 2. Gestão de Não Conformidades – NC; 3. Gestão de Continuidade de Negócios – GCN; 4. Auditoria Baseada em Riscos – ABR;

5. Gestão de Perdas – GDP; 6. Demandas Regulatórias; 7. Segurança Pública – SP; 8. Cenários Prospectivos - CE; 9. Sistema de Compliance – SC; 10. Governança Corporativa – GC.

 

No Módulo de Gestão de Riscos Corporativos – GRC, existem as suas categorias de riscos, entre elas: riscos no processo, riscos de segurança empresarial, riscos de projeto, riscos de segurança do trabalho, riscos de meio ambiente, riscos de fraude, riscos de ativos, riscos estratégicos, riscos de conformidade, riscos de facilidades – facility, riscos da segurança de informação, entre outros. A novidade foi a elaboração de um framework específico para riscos cibernéticos.

Captura_de_Tela_2019-12-10_às_09.48.27.p

Por que razão a Brasiliano INTERISK elaborar um framework de riscos cibernéticos, se já possuía um de segurança da informação? A resposta é simples: segurança da tecnologia da informação teve o enfoque para proteção dos ativos, somente dos hardwares. Depois ampliou o escopo com a segurança da informação, incluindo a área física com a lógica, mas ainda ligada a TI. O risco Cibernético é proveniente do Cyber Espaço, que segundo a Norma ABNT NBR ISO/IEC  27032 – Tecnologia da Informação  - Técnicas de Segurança – Diretrizes para segurança cibernética, conceitua: “Ambiente virtual, o qual não existe em qualquer forma física, mas sim, um ambiente ou espaço complexo resultante do surgimento da Internet, somado às pessoas, organizações e atividades em todo tipo de dispositivos de tecnologia e redes que estão conectados a ele. A segurança do espaço cibernético, ou segurança cibernética, é a segurança deste mundo virtual.”

 

Nosso Framework abrange as seguintes fases abaixo:

Captura_de_Tela_2019-12-10_às_10.03.12.p

Framewok de Gestão de Riscos Cibernéticos

Este Framework de Gestão de Riscos Cibernéticos, da Brasiliano INTERISK, possui 9 – nove fases, seguindo as todas as melhores práticas de mercado, incluindo a última norma que foi publicada a ABNT NBR ISSO/IEC 27701 para gestão da privacidade da informação – Requisitos e diretrizes.  

 

Nestas nove fases temos três sub-fases, que consideramos diferenciais perante o mercado.

 

A fase 2.5 Classificação dos Dados e Informações quanto a Relevância e Sigilo. Esta subfase é estratégica pois no caso da Gestão de Riscos Cibernéticos a nossa visão é sobre os ativos, dados e informações consideradas sensíveis e estratégicas para o negócio da instituição e na visão dos hackers, levando-se em consideração inclusive a nova legislação sobre a Lei Geral de Proteção de Dados – LGPD.

 

O objetivo da classificação dos ativos, dos dados e das informações é para priorizar o foco da segurança, propondo maior nível, de tal maneira que dificulte ataques cibernéticos. A Brasiliano INTERISK classifica a Relevância dos ativos, das informações e dados através de dois quesitos:

 

- PRIMEIRO QUESITO: Relevância do impacto, ou seja, o quanto que o ativo, a informação ou dado impacta a instituição, em termos de imagem, financeiro, operacional e legal, no caso de ser sequestrada, violada, divulgada, destruída, ou outros cenários de riscos cibernéticos. Com estes critérios, o gestor consegue priorizar a proteção, tendo em vista o nível de massividade para a empresa.

 

- SEGUNDO QUESITO: Relevância do nível do conteúdo dos dados e informações e da importância estratégica do ativo para a instituição. Tem que haver com níveis de acesso para divulgação e manipulação. A classificação dos dados e informações é focado em seus objetivos estratégicos e na estratégia da empresa, tendo três níveis de classificação: estratégico, tático e operacional.

 

O resultado do cruzamento destes dois critérios possui como resultado a Matriz de Relevância dos Ativos, das Informações e Dados.

É uma Matriz 3 x 3, que classifica a posição do Ativo, da Informação e Dado na Matriz de Relevância em três níveis: Alta, Média e Baixa Relevância para a Instituição.

Captura_de_Tela_2019-12-10_às_10.22.41.p

Matriz de Relevância

Outra subfase diferencial, a 3.2, Identificação dos Fatores de Riscos, sempre utilizamos o Diagrama de Causa e Efeito. Só que este foi construído especificamente pensando em ataques cibernéticos. Foram inseridos seis macro causas, conforme a figura abaixo:

Captura_de_Tela_2019-12-10_às_10.04.58.p

Diagrama de Causa e Efeito Risco Cibernético

Vejam que para o ambiente externo, o gestor deve acompanhar as principais tendências sobre o Modus Operandi dos hackers, segundo seu perfil e o nível de amadurecimento do recurso humano da instituição.  Com o estudo da motricidade dos fatores de riscos, o gestor dará uma nota para cada diagrama em relação a segurança/controle que varia de 1 a 5, sendo que quanto maior a nota menor o seu grau de segurança.

 

O último diferencial, que creio que quase ninguém prática, é a elaboração de cenários dos riscos cibernéticos residuais. Ou seja, teremos que montar como que a instituição poderá sofrer um ataque. Desta forma o gestor pode preparar-se com maior efetividade. Temos o seguinte exemplo:

Captura_de_Tela_2019-12-10_às_10.05.26.p

Matriz de Riscos Residuais Cibernéticos

Digamos que uma empresa possua os riscos residuais cibernéticos, plotados na Matriz de Riscos.

 

Cenário Ataque de Cibernético é a prospectiva de integração dos riscos cibernéticos, criando determinadas situações com a contextualização dos acontecimentos.

 

Exemplo: Se pegarmos os Riscos Cibernéticos 7 + 18 +30 + 31

 

Temos os seguintes cenários: intrusão nos sistemas da empresa de software malicioso, que ficou retirando e monitorando informações por mais de 20 dias, sem ser detectado. Após o vigésimo dia sequestrou parte dos dados de clientes da empresa dos servidores, incluindo backup, destruiu o restante e desfigurou o site da empresa com pichação política partidária. No vigésimo quinto dia solicitou resgate na ordem de R$ 30,5 milhões de reais para devolver as informações dos clientes e não as divulgar nas mídias sociais.

 

Com base neste cenário, pergunto:

 

  1. A empresa possui condições de resistir a um ataque desta magnitude?

  2. A empresa possui uma estratégia de reação para este tipo de cenário?

  3. A empresa saber gerir uma crise com o mercado, clientes e com órgãos reguladores?

 

O interessante é que as respostas serão alicerçadas em Prospectivas, em hipóteses, tudo frente ao que está ocorrendo no mercado e as suas respectivas tendências. Se se olharmos os riscos cibernéticos isolados, não faz sentido, temos que criar estes cenários para que a empresa tenha uma prontidão mais eficaz.

 

O INTERISK ajuda você a ficar de prontidão, com a classificação dos dados e informações, sabendo o que deve ser protegido, com um diagrama de causa e efeito onde você pode enxergar de fato onde estão suas maiores fragilidades e a montagem de cenários prospectivos de ataques, tendo em vista o contexto atual e as características da sua empresa.

 

O INTERISK suporta você nesta estruturação. Saiba mais, solicite uma apresenta​ção!

voltar

bottom of page