O Software INTERISK inova a
Análise de Riscos Cibernéticos!
Antonio Celso Ribeiro Brasiliano, CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris-Est (Marne La Vallée, Paris, França); presidente da
empresa Brasiliano INTERISK Gestão de Riscos. abrasiliano@brasiliano.com.br
Junho | 2020
Agora o Software INTERISK possui o FRAMEWORK DA NIST, VERSÃO 1.1 – 2018, DE FORMA AUTOMATIZA.
O Risco Cibernético, como todos sabem, é um risco considerado estratégico, em função do grande avanço da tecnologia e sua mobilidade e interconectividade. Em tempos de pandemia do COVID-19, o Brasil tornou-se o 2º país do mundo com mais casos e mortes por COVID-19, atrás dos Estados Unidos, e, entre as 27 capitais, 20 delas com rápido aumento no número de novos casos, em um momento em que municípios e estados estão flexibilizando o isolamento social.
O cenário brasileiro piorou, vivenciando, infelizmente, na opinião da Brasiliano INTERISK, um dos quatro Cenários Pandêmicos que elaboramos: O “Caos Prolongado”. Vendo o gráfico, fig.1, podemos deduzir que teremos um tempo muito mais longo de administrar a pandemia e nossa recessão será profunda. A subida para atingirmos o Platô, é morosa, como sua descida, em função das medidas não terem sido eficazes.
Neste caso os efeitos para controlar o vírus parecem inúteis. Governo e sociedade brasileira são forçados a romper, com isolamento e outras medidas de prevenção e mitigação, o que faz o famoso vai e volta dos Estados e Municípios. A economia é limitada apenas às necessidades e a inflação dispara.
Figura 1: Cenário de Caos Prolongado no Brasil – Medidas Ineficazes e Falta de Coordenação Conjunta e de Objetivos claros a serem atingidos. Fonte: Brasiliano INTERISK
Esta fragmentação também refletiu na “economia” do cibercrime. Os dados mais recentes, mostram que o risco de uma empresa ser impactada por um site malicioso relacionado ao Coronavírus depende da condição da pandemia, se retornou aos negócios ou ainda está em isolamento social.
À medida que as empresas retomam atividades e reabrem escritórios, o COVID-19 continua a representar uma ameaça, pois as organizações estão testando programas e aplicando novas regras no local de trabalho para evitar novas infecções. Para preparar os funcionários para esse “novo normal”, muitas delas vêm realizando seminários on-line, cursos e treinamento para explicar as restrições e os requisitos para voltarem ao trabalho. Assim, os cibercriminosos permanecem alertas a essas novas oportunidades. Portanto, não é surpresa que os hackers estejam distribuindo e-mails de Phishing e arquivos maliciosos disfarçados de material de treinamento sobre a COVID-19 e também aproveitando temas das mídias, tais como o movimento “Vidas Negras Importam”. Com estas notícias os cibercrimonosos lançam campanhas, através de Phishing com forte volume de e-mails pedindo que as pessoas votassem sobre diversos temas: “Dê sua opinião confidencialmente sobre “Vidas Negras Importam”; “Deixe uma opinião sobre ‘Vidas Negras Importam’” ou “Vote anonimamente sobre ‘Vidas Negras Importam’”.
Com este cenário de ataques cibernéticos, há uma necessidade premente das empresas terem um processo prático e objetivo de análise de riscos cibernéticos. A Brasiliano INTERISK inovou a análise de riscos cibernéticos ao implantar na ferramenta INTERISK o Framework da NIST, versão 1.1, de 2018, que possui uma listagem de quesitos. O Framework da NIST 2018, é focado em gerenciamento dos riscos da segurança cibernética. Portanto os quesitos do Framework da NIST, versão 1.1 de 2018 se encaixam, pois são Baseados em Riscos. A Estrutura Básica do Framework é composta pelas 5 funções, conforme figura abaixo:
Figura 2: Estrutura Básica do Guia de Segurança Cibernética.
Fonte: National Institute of Standards and Technology - NIST - 2018
Na Estrutura Básica temos 4 funções preventivas – Identificar – Proteger – Detectar e Responder e uma função de impacto – recuperar.
Os conceitos das funções são:
- Identificar - Desenvolver uma compreensão organizacional para gerenciar o risco de segurança cibernética no que tange a sistemas, pessoas, ativos, dados e recursos;
- Proteger - Desenvolver e implementar proteções necessárias para garantir a prestação de serviços críticos;
- Detectar - Desenvolver e implementar atividades necessárias para identificar a ocorrência de um evento de segurança cibernética;
- Responder - Desenvolver e implementar atividades apropriadas para agir contra um incidente de segurança cibernética detectado;
- Recuperar - Desenvolver e implementar atividades apropriadas para manter planos de resiliência e restaurar quaisquer recursos ou serviços que foram prejudicados devido a um incidente de segurança cibernética.
No Guia de Aperfeiçoamento, há o Anexo A, com a listagem completa da Estrutura Básica.
O Framework da NIST, versão 1,1 de 2008, possui 4 níveis de implementação:
- Nível 1: Parcial – As práticas de GR de segurança cibernética não são formalizadas e os riscos são tratados ad hoc ou de forma reativa;
- Nível 2: Risco Informado – Práticas aprovadas pela alta gestão, mas não operacionalizadas;
- Nível 3: Reproduzido – Práticas de GR são formalmente aprovadas e reproduzidas em políticas;
- Nível 4: Adaptável – A empresa adequa e adapta suas práticas de segurança cibernética com base nas experiências vivenciadas.
As Avaliações de Estrutura, visando identificar o Nível de Implementação são usadas para descrever o estado atual ou o estado desejado de atividades específicas de segurança cibernética.
SOFTWARE INTERISK COM O CONCEITO DE CYBERSECURITY RISKS
A Inovação por parte da Brasiliano INTERISK é o preenchimento dos quesitos da Estrutura Básica, e a ida para o diagrama de causa e efeito, de maneira automatizada, visando compreender quais são as não conformidades consideradas relevantes.
A primeira fase é listar os ativos da empresa para sabermos o que temos, e identificar a relevância:
Figura 3: Listagem das Informações a Ativos críticos da Brasuca.
Fonte: Software INTERISK
A segunda fase é realizarmos a relevância das informações, frente aos ativos relacionados.
Figura 4: Relevância dos Ativos de Informações, utilizando o impacto em caso de fuga, integridade e confidencialidade das informações ou dados e o nível organizacional – estratégico, tático e operacional - das informações/dados.
Fonte: Software INTERISK.
Concluímos esta fase com a visualização da Matriz de Relevância dos Ativos de Informações:
Figura 5: Matriz de Relevância das Informações, com as respectivas criticidades identificadas em termos de negócios – Três níveis. Estes ativos críticos devem ser o foco do Cybersecurity Risks. Os ativos que se encontram no quadrante vermelho. Fonte: Software INTERISK.
Figura 6: Indicadores dos Ativos Críticos Identificados. Fonte: Software INTERISK.
O passo seguinte é aplicar a lista de verificações, Estrutura Básica da NIST, versão 1.1de 2018. com base em riscos.
Figura 7: lista de verificação preenchida e as não conformidades vão direto para o Diagrama de Causa e Efeito. Fonte: Software INTERISK.
Figura 8: Listagem dos Fatores de Riscos – Não Conformidades e dos Controles – As conformidades. Fonte: Software INTERISK.
Com base no diagnóstico da lista de verificação, há a fase da identificação dos riscos cibernéticos, através do brainstorming.
Figura 9: Listagem dos Riscos Cibernéticos frente as fragilidades encontradas na Estrutura Básica. Fonte: Software INTERISK.
O próximo passo é identificar quais dos fatores de riscos existentes – não conformidades da lista de verificação – compõe cada risco e ao mesmo tempo colocar as não conformidade de recuperação no impacto dos riscos identificados.
Figura 10: digrama de causa e efeito, com seis macro causas: controles lógicos, meios organizacionais, recursos humanos, controles físicos, redes e ambiente externo. As não conformidades da lista de verificação da Estrutura Básica da NIST 2018, versão 1.1, já entram automaticamente em cada uma das macro causas. Com isto a lista de verificação auxilia no gerenciamento de riscos cibernéticos. Fonte: Software INTERISK.
A última fase antes de realizar a análise de riscos é saber quais das não conformidades identificadas são as mais relevantes, as mais motrizes. Fazemos isto, através da Matriz SWOT, onde temos dois critérios: Importância e Magnitude.
Figura 11: Matriz SWOT que prioriza os fatores de riscos e ou não conformidades.
Fonte: Software INTERISK.
Desta forma, com o INTERISK o gestor de Cybersecurity Risks integra os preceitos do gerenciamento de riscos integrados, onde a disciplina de Riscos Cibernéticos não ficará isolada ou segregada, fazendo com que a empresa ganhe maior flexibilidade e um desempenho superior ao das concorrentes.
Caso queria conhecer o Software INTERISK, entre em contato e solicite uma demonstração!