Desvendando os Custos de Negócios do Risco Cibernético: Ponemon Study

O estudo constatou que as organizações não estão calculando corretamente os custos de negócios do risco cibernético e que não são capazes de quantificar o dano que poderia ser causado por ataques cibernéticos aos seus negócios. Portanto, elas não têm as informações críticas necessárias para tomar decisões sobre alocação de recursos, investimentos em tecnologia e priorização de ameaças.

Diferentemente de outras disciplinas de negócios, como CRM, ERP e RH, a segurança cibernética não tem métricas claras para ajudar os executivos a apresentar a tomada de decisão de forma compreensível para os diretores-executivos e outros diretores. Quando contratamos a Ponemon Research para estudar os efeitos do risco cibernético às operações de negócios, nosso objetivo era explorar como quatro KPIs comuns associados à Cyber Exposure resultavam em tipos específicos de riscos de negócios. Mais do que avaliar o impacto financeiro, nós queríamos explorar como o risco cibernético influencia a estratégia de negócios, os produtos, a cadeia de suprimentos, os fluxos de receita, as operações, a tecnologia de negócios, a experiência do cliente e a conformidade regulatória.

Depois de entrevistar 2.410 tomadores de decisão de TI e de segurança da informação em seis países, descobrimos que os KPIs ou as métricas tradicionais para a avaliação dos riscos de negócios não podem ser usados para entender os riscos cibernéticos. As organizações não calculam de forma precisa os custos de negócios do risco cibernético, sendo incapazes de quantificar os danos que os ataques cibernéticos poderiam causar aos seus negócios. Assim, decisões sobre a alocação de recursos, os investimentos em tecnologia e a priorização de ameaças são tomadas sem o apoio de informações críticas. Além disso, as organizações não são capazes de correlacionar os KPIs de risco cibernético que utilizam para a eliminação de violações de dados ou explorações de segurança.

Em uma época em que a diretoria está cada vez mais interessada na segurança cibernética, o estudo “Medir e gerenciar os riscos cibernéticos para as operações comerciais”, conduzido pelo Ponemon Institute a pedido da Tenable, revela uma falta de confiança entre os profissionais de segurança cibernética sobre a precisão de suas métricas. Isso deixa os CISOs e/ou outros executivos de tecnologia de segurança mais relutantes em compartilhar informações críticas sobre os custos de negócios dos riscos cibernéticos com a diretoria.

Análise de KPIs comuns

Para o estudo, identificamos quatro KPIs comuns usados para medir o risco cibernético:

• tempo para avaliar;
• tempo para corrigir;
• eficácia da priorização dos riscos cibernéticos;
• identificação de ativos vulneráveis ao risco cibernético, incluindo dispositivos de Tecnologia Operacional (TO) e de Internet das Coisas (IoT).

Além disso, exploramos os três KPIs usados mais frequentemente para medir as consequências financeiras de um ataque cibernético:

• perda de receita;
• perda de produtividade;
• queda no preço das ações.

A maioria dos participantes (91%) admitiu que enfrentou pelo menos um incidente cibernético que interrompeu os negócios nos últimos 24 meses; 60% enfrentaram dois ou mais incidentes no mesmo período de tempo. Esses ataques resultaram em violações de dados e/ou em interrupções significativas e tempo de inatividade para as operações comerciais, os equipamentos de fábrica e operacionais.

A maioria dos participantes (58%) afirma que os KPIs e as métricas tradicionais usados para avaliar os riscos de negócios não podem ser usados para entender os riscos cibernéticos. Quando se trata de quantificar o dano que os eventos cibernéticos poderiam causar aos negócios, somente 41% dos participantes (988) afirmam que suas organizações fizeram tentativas nesse sentido. Além disso, apenas 30% dos participantes afirmam que suas organizações são capazes de correlacionar as informações dos KPIs de riscos cibernéticos com a tomada de ações para reduzir o risco de uma violação de dados ou exploração de segurança.

Dos 988 participantes que afirmaram que suas organizações tentam quantificar o dano que os incidentes de segurança poderiam causar aos seus negócios:

• 54% dizem que quantificam o custo do roubo de propriedade intelectual;
• 43% dizem que calculam o prejuízo financeiro em potencial;
• 42% consideram o impacto da perda de produtividade dos funcionários após uma violação de dados ou exploração de segurança.

Quais fatores são usados para quantificar o risco em potencial de um ataque cibernético?

Fonte: Calcular e gerenciar os riscos cibernéticos para as operações comerciais, Ponemon Institute e Tenable, dezembro de 2018.

Pedimos aos participantes para classificar a precisão das informações obtidas, usando os KPIs acima, em uma escala de 1 = imprecisas a 10 = muito precisas. Somente 38% dos participantes acreditam que suas medições são muito precisas, enquanto 44% acreditam que suas medições não são muito precisas.

O relatório revela ainda que as organizações não estão usando os KPIs que consideram mais importantes para avaliar e compreender as ameaças cibernéticas. Por exemplo, dois terços dos participantes (64%) identificaram o “tempo para avaliar” como um KPI importante para avaliar o risco cibernético, mas apenas 49% dos participantes utilizam essa métrica. Nós observamos lacunas semelhantes ao examinar os outros três KPIs discutidos no relatório (abaixo).

Lacunas entre o uso e a importância dos KPIs

Fonte: Calcular e gerenciar os riscos cibernéticos para as operações comerciais, Ponemon Institute e Tenable, dezembro de 2018.

Medir o risco cibernético: ninguém disse que seria fácil

Os participantes identificaram os sete motivos principais pelos quais suas organizações ainda enfrentam desafios de segurança cibernética, incluindo:

• Função de TI com pessoal insuficiente;
• Falta de recursos para gerenciar as vulnerabilidades;
• Proliferação de dispositivos de IoT no local de trabalho;
• Complexidade da infraestrutura de segurança de TI;
• Falta de controles sobre o acesso de terceiros a dados sensíveis e confidenciais;
• Dependência de processos manuais para responder às vulnerabilidades;
• Visibilidade insuficiente sobre a superfície de ataque da sua organização.

Apesar de não existirem ações corretivas imediatas para nenhum desses problemas, nós acreditamos que, ao se concentrar nas cinco etapas a seguir, a sua organização poderá desenvolver uma estratégia de segurança cibernética orientada aos negócios.

1. Identificar e mapear todos os ativos em qualquer ambiente computacional.
2. Compreender a Cyber Exposure de todos os ativos, incluindo vulnerabilidades, configurações incorretas e outros indicadores de integridade de segurança.
3. Compreender as exposições de forma contextualizada para priorizar as correções com base na criticidade do ativo, no contexto da ameaça e na gravidade da vulnerabilidade.
4. Priorizar quais exposições devem ser corrigidas primeiro, se é que devem ser corrigidas, e aplicar a técnica de correção adequada.
5. Medir e analisar a Cyber Exposure para tomar melhores decisões de negócios e de tecnologias.

Além da orientação apresentada acima, o relatório “Medir e gerenciar os riscos cibernéticos para as operações comerciais” termina com um processo de cinco etapas para medir e gerenciar o risco cibernético, que você pode colocar em prática na sua organização hoje mesmo.

Sobre este estudo

O relatório “Medir e gerenciar os riscos cibernéticos para as operações comerciais” é baseado em uma pesquisa com 2.410 tomadores de decisão de TI e de segurança da informação nos Estados Unidos, Reino Unido, Alemanha, Austrália, México e Japão. Todos os participantes estão envolvidos na avaliação e/ou no gerenciamento dos investimentos em soluções de segurança cibernética em suas organizações. As conclusões globais consolidadas são apresentadas neste relatório. Faça o download da sua cópia gratuita aqui.