Risk Assessment em Cybersecurity Risks: Qual o produto?
Antonio Celso Ribeiro Brasiliano, CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris-Est (Marne La Vallée, Paris, França); presidente da
empresa Brasiliano INTERISK Gestão de Riscos. abrasiliano@brasiliano.com.br
Agosto | 2020
O que é um Risk Assessment na Segurança Cibernética? O termo Risk Assessment na tradução do inglês é uma avaliação de risco com esforço combinado de identificar e analisar eventos em potencial que possam impactar negativamente indivíduos, ativos e/ou meio ambiente; e fazer julgamentos "sobre a tolerância do risco com base em uma análise de risco", considerando fatores de influência.
No caso da Cybersecurity Risks, metodologia da Brasiliano INTERISK para a Gestão de Riscos Cibernéticos, o Risk Assesment compõe a elaboração da primeira e segunda etapa do processo para identificar os pontos deficientes e o nível de maturidade da empresa em termos de Cybersegurança. Na figura abaixo podemos ter a noção do processo como um todo e as fases do Risk Assessment.
PRIMEIRA ETAPA DO RISK ASSESSMENT
O Risk Assessment torna-se então a espinha dorsal do processo CSR, pois identifica em primeiro lugar as denominadas “Joias da Coroa”, que são os três ativos estratégicos de qualquer empresa: os seus processos críticos, as informações críticas dentro dos processos críticos e os sistemas que suportam as informações e processos críticos. Isto significa que a empresa necessita ter foco de investimento no entorno desta tríade. Utiliza-se ferramentas como o BIA – Business Impact Analisys para saber quais processos e sistemas críticos. A identificação das informações críticas usamos dois critérios: relevância em termos de nível estratégico, tático ou operacional e o impacto se por acaso a informação perder sua integridade, confidencialidade e disponibilidade. Os subcritérios do impacto utilizados para mensurar a criticidade da informação são: Imagem, Financeiro, Legal e Operacional. Abaixo as telas do nosso Software INTERISK:
Figura 2: BIA – Bussiness Impact Analysis de processos críticos. Matriz com três níveis de criticidade: processos leves, moderados e críticos. O foco para investimento só devem ser os processos plotados no quadrante vermelho. Fonte: Brasiliano INTERISK.
Figura 3: Matriz de Relevância das Informações Críticas, com dois critérios:
Nível de Impacto x Nível Organizacional das Informações. Fonte: Brasiliano INTERISK
Figura 4: BIA – Business Impact Analysis Matriz de Relevância das Informações Críticas, com dois critérios: Nível de Impacto x Nível Organizacional das Informações. Fonte: Brasiliano INTERISK
SEGUNDA ETAPA DO RISK ASSESMENT
Esta segunda etapa é a identificação das não conformidades, olhando as joias da coroa como farol. Além disso com as não conformidades levantadas o Sistema INTERISK já fornece automaticamente o Nível de Maturidade em segurança cibernética.
As Conformidades e Não Conformidades são elaboradas através do preenchimento do questionário da NIST – National Institute of Standards and Technology, versão 1.1 2018. Nesta versão da NIST Cybersecurity Framework – CSF, está direcionada para o gerenciamento de riscos.
A Estrutura Básica do NIST fornece um conjunto de atividades para alcançar resultados específicos de segurança cibernética e faz referência a exemplos de diretrizes para que esses resultados sejam alcançados. A Estrutura Básica não é uma lista de verificação (checklist) de ações a serem executadas. Ela apresenta os principais resultados de segurança cibernética identificados pelos stakeholders e considerados úteis no gerenciamento do risco de segurança cibernética. A Estrutura Básica é composta por quatro elementos: Funções, Categorias, Subcategorias e Referências Informativas, conforme mostra a Imagem abaixo:
Figura 5: Estrutura do NIST. Fonte NIST 2018
As cinco funções da Estrutura Básica são definidas abaixo. Essas funções não se destinam a formar um caminho sequencial ou levar a um estado final engessado.
Identificar - Desenvolver uma compreensão organizacional para gerenciar o risco de segurança cibernética no que tange a sistemas, pessoas, ativos, dados e recursos. As atividades na função Identificar são fundamentais para o uso eficiente do Guia. Uma organização é capaz de focar e priorizar seus esforços de forma consistente com sua estratégia de gerenciamento de riscos e demandas empresariais, a partir da compreensão do contexto de seu nicho, dos recursos que suportam funções críticas e dos riscos de segurança cibernética envolvidos. Os exemplos de Categorias de resultados dentro desta Função incluem: Gerenciamento de Ativos; Ambiente Empresarial; Governança; Avaliação de Risco; e Estratégia de Gerenciamento de Risco.
Proteger - Desenvolver e implementar proteções necessárias para garantir a prestação de serviços críticos. A função Proteger fornece apoio à capacidade de limitar ou conter o impacto de uma possível ocorrência de segurança cibernética. Os exemplos de Categorias de resultados dentro desta Função incluem: Gerenciamento de Identidade e Controle de Acesso; Conscientização e Treinamento; Segurança de dados; Processos e Procedimentos de Proteção da Informação; Manutenção; e Tecnologia de Proteção.
Detectar - Desenvolver e implementar atividades necessárias para identificar a ocorrência de um evento de segurança cibernética. A função Detectar permite a descoberta oportuna de ocorrências de segurança cibernética. Os exemplos de Categorias de resultados dentro desta Função incluem: Anomalias e Ocorrências; Monitoramento Contínuo de Segurança; e Processos de Detecção.
Responder - Desenvolver e implementar atividades apropriadas para agir contra um incidente de segurança cibernética detectado. A função Responder suporta a capacidade de conter o impacto de um possível incidente de segurança cibernética. Exemplos de Categorias de resultados dentro desta Função incluem: Planejamento de Resposta; Notificações; Análise; Mitigação; e Aperfeiçoamentos.
Recuperar - Desenvolver e implementar atividades apropriadas para manter planos de resiliência e restaurar quaisquer recursos ou serviços que foram prejudicados devido a um incidente de segurança cibernética. A função Recuperar oferece apoio ao restabelecimento pontual para operações normais de modo a reduzir o impacto de determinado incidente de segurança cibernética. Os exemplos de Categorias de resultados dentro desta Função incluem: Planejamento de Restabelecimento; Aperfeiçoamentos; e Notificações.
Figura 6: Funções da Estrutura CSF - NIST. Fonte NIST 2018
No sistema INTERISK temos o questionário, sendo necessário identificar as não conformidades e conformidades, para que a empresa possa levantar a Maturidade de Segurança Cibernética.
Figura 7: Questionário da Estrutura CSF – NIST 2018. Fonte Brasiliano INTERISK
Figura 8: Indicador das Funções da Estrutura CSF – NIST 2018. Fonte Brasiliano INTERISK
A Maturidade da Segurança Cibernética, é elaborada automaticamente, com base em cinco níveis de criticidade:
Nível 1: Ações vinculadas à Cibersegurança quase ou totalmente inexistentes. – VERMELHO
Nível 2: Há algumas iniciativas sobre Cibersegurança. Abordagens ad-hoc. Alta dependência do pessoal. Atitude reativa diante de incidentes de segurança. – LARANJA
Nível 3: Há certas diretrizes para a execução das tarefas. Existe dependência do pessoal. Tem avançado no desenvolvimento dos processos e documentação das tarefas. – AMARELO
Nível 4: É caracterizado pela formalização e documentação de políticas e procedimentos. Governança da Cibersegurança. Métricas de acompanhamento. – VERDE CLARO
Nível 5: O Responsável pela Cibersegurança tem uma função chave no controle e melhora do SGSI. Realiza-se o controle interno. Trabalha-se na melhora continuada. A Cibersegurança está alinhada com os objetivos e estratégias da organização. – VERDE ESCURO
Figura 9: Níveis de Maturidade. Fonte: Brasiliano INTERISK
O resultado automatizado é o Gráfico denominado Radar, onde são colocados o Nível Desejado e o Nível Atual. Com esta visão a empresa possui seu nível de fragilidade cibernética.
Figura 10: Nível de Maturidade de Segurança Cibernética – Gráfico Radar. Fonte: Brasiliano INTERISK
Neste caso a empresa em estudo possui um nível de maturidade muito baixo, o que a deixa fragilizada aos ciberataques.
O gráfico Radar é mais lúdico, e faz com que a alta gestão fique mais consciente da necessidade de investimento, onde e o que investir.
O Risk Assessment é parte da Metodologia Cybersecurity Risks, que ao ser completada, passa a ser uma ferramenta de extrema utilidade, pois faz com que a empresa enxergue quais são seus cenários de ataques cibernéticos, com a descrição de como pode ser agredida, com qual perfil de hackers, tendo em vista seu negócio e o modus operandi.
Com estas informações, temos condições de realizar investimentos pontuais, otimizando recursos e tendo uma relação custo benefício muito mais equilibrada.
Figura 11: Nível de Maturidade com o Gráfico Radar. Fonte: Brasiliano INTERISK
No exemplo acima do nível de maturidade, vemos que a empresa se encontra com um nível muito bom, poucas fragilidades cibernéticas. Há a necessidade de monitorar e realizar investimentos pontuais para chegar à excelência.
Com esta fase, Risk Assessment, o gestor pode já ter condições de sensibilizar a alta gestão para realizar a segurança cibernética otimizada.
Caso queria conhecer o Software INTERISK, entre em contato e solicite uma demonstração!