Como comunicar o risco ao negócio: por que as métricas de segurança cibernética existentes ficam aquém?.

Como comunicar o contexto de risco ao negócio do seu programa de segurança cibernética aos executivos da alta gestão da sua organização? Essa é uma questão que enfrento todos os dias em minha função de líder de segurança cibernética.

Os líderes de segurança e de gerenciamento de riscos têm um arsenal de estruturas e controles disponíveis para calcular as facetas mais granulares dos seus programas. Embora essas métricas sejam inestimáveis para nos ajudar a gerenciar as operações diárias de nossas equipes, elas são insuficientes quando se trata de encontrar uma maneira de falar com nossos líderes de negócios.

Quando você está interagindo no nível da alta gestão ou mesmo no nível do comitê de auditoria — que, na maioria das vezes, é a entidade do conselho responsável pela segurança — os executivos querem entender o impacto que o seu programa de segurança cibernética está tendo na capacidade da organização de cumprir sua principal proposta de valor. Ainda assim, um estudo mundial com mais de 800 líderes de negócios e de segurança cibernética conduzido pela Forrester Consulting em nome da Tenable revela que 66% dos líderes de negócios estão, no máximo, apenas um pouco confiantes na capacidade que sua equipe de segurança tem para quantificar o nível de risco ou segurança da organização.

Isso não significa que os líderes de segurança estão fazendo alguma coisa errada. Em vez disso, ele destaca uma realidade inevitável: as formas atuais de calcular o risco cibernético não mostram o contexto de negócio de que as organizações precisam. Mais da metade dos líderes de segurança pesquisados não tem certeza de ter a tecnologia ou os processos para prever ameaças de segurança cibernética ao seu negócio, enquanto cerca de dois quintos não têm certeza de ter os dados.

Cesar Garza, CISO da Home Depot Mexico em San Pedro, México, descreve os desafios em uma única palavra: “descobertas”. Em uma entrevista à Tenable, Garza disse que “para nós, determinar nosso nível de risco cibernético não é tão difícil. Temos avaliações de maturidade, avaliações de vulnerabilidade, testes de penetração e todos os tipos de auditorias e avaliações enviadas a nós pela [sede corporativa global]. A parte difícil é o que fazer com todas as descobertas. A maioria das descobertas exige investimento, OpEx ininterrupto, aumento da força de trabalho ou investimento em nova tecnologia.”

Como calculamos o risco cibernético?

O risco cibernético é uma função dos seus ativos, controles de segurança, ameaças e vulnerabilidades a qualquer momento. Sem saber quais são os ativos mais críticos para o valor fundamental do seu negócio, é impossível entender os riscos cibernéticos que representam uma ameaça real para o negócio. Depois de determinar seus ativos críticos, o próximo passo é entender quais das dezenas de milhares de ameaças e vulnerabilidades que sua organização enfrenta a cada ano realmente representam o maior risco para esses ativos essenciais.

De acordo com o estudo da Forrester, menos de 50% dos líderes de segurança incluem o impacto de ameaças à segurança cibernética no contexto de um risco de negócio específico. A maioria dos líderes de segurança pesquisados (56%) não está aplicando os objetivos de gerenciamento de riscos aos seus processos de priorização de vulnerabilidades. Apenas metade (51%) afirma que sua organização trabalha em proximidade com as partes interessadas para alinhar os objetivos de custo, de desempenho e de redução de riscos às necessidades do negócio. E apenas um em cada quatro relata revisar regularmente as métricas de desempenho da organização de segurança com os colegas do negócio.

O estudo da Forrester também revela que:

• Mais da metade dos líderes de segurança (56%) afirma que sua organização não tem uma boa visibilidade da segurança de seus ativos mais críticos.
• Cerca de 60% dos participantes relatam visibilidade alta ou total da avaliação do risco por parte dos funcionários locais, mas apenas 52% podem dizer o mesmo sobre funcionários remotos ou trabalhando de casa.
• Apenas 51% relatam ter visibilidade alta ou total dos sistemas usados por prestadores ou parceiros, e 55% relatam o mesmo para seus fornecedores terceirizados.

Não é possível calcular o risco cibernético sem o contexto do negócio

As duas perguntas mais comuns que recebo de líderes empresariais seniores e do conselho são: "Estamos seguros?" e "Como está nosso programa em comparação com nossos colegas?".

Mas, ao contrário dos colegas do negócio, os líderes de segurança têm dados objetivos limitados nos quais se basear para montar a equação essencial de risco cibernético dos ativos, controles de segurança, ameaças e vulnerabilidades para responder às duas perguntas. Nenhuma estrutura existente captura nossa operação na íntegra, deixando aos líderes de segurança a função de juntar os vários fragmentos de cálculo. Sem um cálculo objetivo do contexto de negócios para cada um de nosso ativos, nossos cálculos de risco cibernético só podem nos levar até um certo ponto.

De fato, de acordo com o estudo da Forrester, menos da metade dos líderes de segurança considera as estruturas de análise comparativa do setor que utiliza muito eficazes para relatar com precisão o risco ao negócio. E mais da metade diz não estar fazendo uma análise comparativa adequada de seus controles de segurança.

Ao mesmo tempo, são tantas as variáveis envolvidas na superfície de ataque de qualquer organização que obter um consenso sobre as métricas de segurança em todo o setor deve continuar sendo um sonho no futuro próximo. Nenhuma organização pode alegar estar 100% segura. Tudo o que temos é o nosso cálculo embasado do que é considerado um nível de risco aceitável, que nos permite tomar decisões de negócios sobre até onde ir depois de abordar um nível razoável de exposição.

Então, como você pode trabalhar com o que tem para começar a suplantar a desconexão entre a segurança cibernética e o negócio?

Não existe uma resposta única para todos, mas podemos recorrer à LafargeHolcim IT EMEA em Madrid para um exemplo. “Avaliamos nossa taxa de penetração nas diferentes camadas de proteção em vigor”, disse Jose Maria Labernia Salvador, chefe de segurança de TI e controle interno da empresa, em entrevista à Tenable. “Isso ajuda nosso negócio a entender a exposição potencial em nosso cenário e determinar o apetite de risco em toda a cadeia de valor da segurança cibernética. Nosso modelo é guiado por KPIs e agnóstico, orientado a dados ou segmentos, já que você nunca sabe qual será o vetor de ataque inicial com potencial para movimentar-se lateralmente e prejudicar nossa organização.”

Como usar os dados que você tem para chegar onde precisa

O risco é relativo, não absoluto. Sempre teremos riscos dentro da empresa. A dúvida é se reduzimos ou aumentamos nosso risco ao tomar uma determinada medida de negócios. O que as opções de avaliação de segurança disponíveis hoje fazem é oferecer a possibilidade de estabelecer um ponto de partida do qual você poderá começar a identificar o trabalho necessário para refinar ainda mais seu programa de segurança.

Na Home Depot Mexico, Garza recorre ao Tenable.io Lumin para obter “visibilidade em tempo quase real de nosso nível atual de cyber exposure. Podemos priorizar riscos cibernéticos e ter tudo isso em uma tela”. Ele observou que a organização está em processo de construção de um painel executivo que dará visibilidade aos executivos da alta diretoria.

Não existe uma abordagem comum a todos para identificar os indicadores de risco mais importantes para a sua organização. Tudo que podemos fazer, como profissionais do setor, é trabalhar em conjunto para começar a formular os tipos de métricas de risco ao negócio que serão mais significativas para os líderes de negócios da alta gestão.

Para esse fim, deixo você com a seguinte lista de perguntas que tenho recebido de conselhos e altos executivos ao longo de minha carreira:

• Quais são e/ou onde estão nossos riscos, funções e ativos mais críticos?
  • O que você está fazendo para protegê-los?
• Qual é o nível de maturidade do nosso programa, em comparação com o setor e empresas semelhantes?
  • Qual é o seu roteiro para aumentar nossa maturidade?
• Quais são os recursos do nosso programa de segurança em comparação aos concorrentes ou empresas semelhantes do mesmo setor?
• As funções mais críticas para o negócio estão mais seguras hoje do que um ano atrás?
• O que estamos fazendo em relação a (inserir a mais recente vulnerabilidade em evidência aqui)?

Minha esperança é de que isso desperte suas próprias ideias para outros indicadores de risco de negócios que valham a pena calcular, para que, coletivamente, possamos encontrar melhores maneiras de alcançar o alinhamento entre a segurança cibernética e o negócio.

Leia a série do blog: Como tornar-se um líder de segurança cibernética alinhado ao negócio

As postagens anteriores desta série focavam nos desafios de alinhar a segurança cibernética e o negócio e em por que os líderes da segurança cibernética têm tanta dificuldade para responder à pergunta: "Qual é nosso nível de segurança?". Também examinamos o que as estratégias de resposta à COVID-19 revelam sobre a desconexão entre a área cibernética e o negócio, discutimos por que as métricas de segurança cibernética existentes são insuficientes para comunicar o risco cibernético e exploramos cinco etapas para chegar a um alinhamento com o negócio. e fornecemos uma visão sobre um dia na vida de um líder de segurança cibernética alinhado ao negócio.

Saiba mais:

• Veja destaques adicionais do estudo aqui.
• Faça o download do estudo completo A Ascensão do Executivo de Segurança Alinhado ao Negócio.
• Leia as postagens:
  • Alinhar a segurança cibernética e os negócios: ninguém disse que seria fácil
  • Por que os líderes de segurança cibernética têm dificuldades para responder à pergunta "Até que ponto estamos seguros?"
  • O que as estratégias de resposta à COVID-19 revelam sobre a desconexão entre segurança cibernética e o negócio.
• Faça o download da publicação técnica O que é necessário para ser um líder de segurança cibernética alinhado ao negócio.
• Leia o ebook: Como tornar-se um líder de segurança alinhado ao negócio.
• Ouça a série de podcasts sobre Cyber Exposure: Entrevista com o CSO da Tenable, Bob Huber.
• Reserve seu lugar para nosso próximo webinar e perguntas e respostas ao vivo em 30 de setembro, "The Rise of the Business-Aligned Security Executive".