CIBERNÉTICO

Cybersecurity Risks:
nova modelagem para enfrentar os desafios
do Século XXI

Prof. Dr. Antonio Celso Ribeiro Brasiliano, CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.

Qualquer nação hoje, de qualquer parte do mundo dependem de um funcionamento confiável por parte das suas infraestruturas críticas. As ameaças de segurança cibernética exploram o aumento da complexidade e da conectividade de sistemas de infraestruturas críticas, colocando em risco a segurança pública e privada, a economia e a saúde da nação.

 

Semelhante aos riscos financeiros e de reputação, o risco de segurança cibernética afeta o resultado final de uma empresa. Pode elevar os custos e afetar de modo massivo a sobrevivência da corporação. 

 

Os riscos de Ciber devem ser geridos com foco em gerenciamento de riscos, caso contrário tira da empresa a capacidade de inovar, conquistar e manter seus clientes. A segurança cibernética é um componente estratégico e amplificador da gestão de riscos integrada.

 

A empresa que não tiver este novo “Mindset” está correndo o risco de sumir do mercado, neste século XXI, o século da interconectividade.  

Introdução

Os Estados Unidos lançaram em 2013 uma diretriz, produzida pelo Instituto Nacional de Padrões e Tecnologia – NIST, em inglês, de modo que incluiu a identificação e o desenvolvimento de diretrizes de risco de segurança cibernética para uso voluntário de proprietários e operadores de infraestrutura crítica. Por meio da Lei de Aprimoramento da Segurança Cibernética – CEA em inglês, o NIST produziu um framework, com foco no desempenho da Segurança Cibernética, integrada com medidas e controles de segurança da informação. Este framework deu condições de seus usuários a identificar seu grau de maturidade em relação as medidas de Cybersecurity. 

O foco do Guia de Segurança Cibernética para Infraestruturas Críticas, criado em 2013, Versão 1.0 era saber, como que a infraestrutura crítica, e demais empresas de qualquer segmento, que também começaram a utilizar o guia, o nível de maturidade existente e seus pontos fracos. Para isso o framework percorre uma estrutura básica: 

Figura 1: Estrutura Básica do Guia de Segurança Cibernética

A Estrutura Básica fornecia um conjunto de atividades para alcançar resultados específicos de segurança cibernética e fazia referência a exemplos de diretrizes para que esses resultados fossem alcançados. A Estrutura Básica era uma lista de verificação (checklist) de ações a serem executadas. Com base nas listas de verificações, a empresa saberia em qual nível se encontrava e quais eram suas principais deficiências. 

 

Aperfeiçoamento

 

Com a evolução do mercado dos ataques cibernéticos, o NIST, em conjunto com seus usuários sentira a necessidade de mudar o foco do Guia, lançando em 2018, a versão 1.1, Guia de Aperfeiçoamento da Segurança Cibernética para Infraestrutura Crítica. O Framework revisado, passou a oferecer para as empresas, padrões, diretrizes e práticas, fornecendo uma taxionomia comum para que as organizações pudessem:  

 

1. Descrever sua situação atual no que tange à segurança cibernética, identificando riscos através das suas vulnerabilidades;

 

2. Descrever seus objetivos no que tange à segurança cibernética;

 

3. Identificar e priorizar oportunidades de aperfeiçoamento dentro do contexto de um processo contínuo e reproduzível;

 

4. Avaliar seus progressos frente aos objetivos;

 

5. Comunicar com stakeholders internos e externos sobre os riscos apresentados na atual segurança cibernética.

 

As empresas podem determinar quais atividades são importantes para a entrega de serviços críticos e também priorizar seus investimentos, em uma relação de custo versus benefício. Tudo isso deve ser realizado com base em riscos cibernéticos. 

 

O Guia, versão 1.1, se concentra no uso de indicadores de negócios para orientar as atividades de segurança cibernética e considerar os riscos como parte dos processos de gerenciamento de riscos da empresa. Ou seja, houve uma grande evolução na forma de lidar e trabalhar com o framework, que deixou ser apenas uma lista de verificação, para passar a ser um complemento do processo de gerenciamento de riscos da Segurança cibernética. 

 

O gerenciamento de riscos é o processo contínuo de identificação, avaliação e resposta ao risco, segundo as melhores práticas do mercado. Para gerenciar riscos, as empresas devem entender a probabilidade de ocorrência de determinado evento e seus possíveis impactos. Com essas métricas,  as organizações podem determinar o nível aceitável de risco para atingir seus objetivos e assim ter de forma clara seu apetite de risco cibernético, e sua tolerância a riscos. 

 

Com esta definição, tolerância ao risco cibernético, as empresas podem priorizar as atividades de segurança cibernética, tornando-se capacitadas a tomar decisões direcionadas em seus principais ativos, de forma a possuir um equilíbrio em seus investimentos. A implementação de programas de gerenciamento de risco cibernético oferece às organizações a capacidade de quantificar e informar sobre ajustes em seus programas de segurança cibernética. As organizações podem optar por lidar com os riscos de maneiras diferentes, incluindo a mitigação do risco, a transferência do risco, a prevenção do risco ou a aceitação do risco, a depender de um eventual impacto na prestação de serviços críticos. O Guia utiliza processos de gerenciamento de riscos para permitir que as organizações informem e priorizem decisões relacionadas à segurança cibernética. Ele abrange avaliações de riscos recorrentes e a validação dos indicadores de negócio para ajudar as organizações a selecionar os níveis desejados de modo que as atividades de segurança cibernética reflitam os resultados desejados. Dessa forma, o Guia oferece às organizações a capacidade de selecionar e direcionar de forma dinâmica o aperfeiçoamento no gerenciamento de riscos de segurança cibernética para os ambientes de TI e TIC. 

 

Estrutura Básica

 

A Estrutura Básica é composta por quatro elementos: Funções, Categorias, Subcategorias e Referências Informativas. Os elementos da Estrutura Básica funcionam juntos da seguinte forma:

 

• Funções: organizam atividades básicas de segurança cibernética em seu nível mais alto. Essas funções são: Identificar, Proteger, Detectar, Responder e Recuperar. Elas auxiliam a empresa a demonstrar seu gerenciamento de riscos de segurança cibernética, organizando as informações, possibilitando decisões de gerenciamento de riscos, tratando ameaças e aprimorando com base em atividades anteriores. As Funções também se alinham com as metodologias existentes para o gerenciamento de incidentes e ajudam a mostrar o impacto dos investimentos em segurança cibernética; 

 

• Categorias: são as subdivisões de uma Função em grupos de resultados de segurança cibernética intimamente ligados a necessidades programáticas e atividades específicas. Exemplos de Categorias incluem “Gerenciamento de Ativos”, “Gerenciamento de Identidades e Controle de Acesso” e “Processos de Detecção”;

 

• Subcategorias: desmembram uma Categoria em resultados específicos de atividades técnicas e/ou de gerenciamento. Elas fornecem um conjunto de resultados que, embora não sejam exaustivos, ajudam a dar embasamento para a concretização dos resultados de cada Categoria. Alguns exemplos de subcategorias:  “Proteção de Dados em Repouso” e “Investigação de Notificação e de Sistemas de Detecção”;

 

• Referências Informativas: são seções específicas sobre normas, diretrizes e melhores práticas entre os setores de infraestrutura crítica ou de uma empresa, que ilustram um método para alcançar os resultados relacionados a cada subcategoria. As Referências Informativas apresentadas na Estrutura Básica são ilustrativas e exemplificativas. 

 

As cinco funções da Estrutura Básica são definidas abaixo. Essas funções não se destinam a formar um caminho sequencial ou levar a um estado final engessado. Em vez disso, as funções devem ser executadas simultânea e continuamente para criar uma cultura operacional que lide com o risco dinâmico da seguran&cc