O que as estratégias de resposta à COVID-19 nos dizem sobre a desconexão entre a segurança cibernética e o negócio

Enquanto organizações do mundo apressavam-se para desenvolver estratégias para responder à pandemia de COVID-19, um estudo independente de risco de negócios mostra que os líderes de segurança cibernética foram, em grande parte, deixados de fora.

A forma como as organizações planejam e gerenciam os riscos do negócio está entre as várias mudanças profundas que estão ocorrendo como resultado da pandemia mundial de COVID-19. Mesmo assim, muitos líderes de segurança cibernética ainda têm dificuldades para conquistar um lugar à mesa. 

De fato, um estudo conduzido pela Forrester Consulting em nome da Tenable revela uma desconexão alarmante entre os líderes de segurança cibernética e de negócios. Embora quase todos os participantes (96%) afirmem que suas organizações desenvolveram estratégias de resposta à COVID-19, 75% afirmam que as iniciativas de negócio e segurança estão apenas "um pouco" alinhadas, na melhor das hipóteses.

Isso é bastante preocupante em um momento em que a adoção repentina e generalizada de modelos de trabalho em casa em resposta à pandemia está resultando em uma enxurrada de dispositivos de usuários finais nas redes corporativas. Os desktops remotos, antes uma oferta interessante para um grupo selecionado de funcionários, agora são ferramentas essenciais usadas por inúmeros funcionários para manter as organizações em funcionamento. De repente, os funcionários estão se conectando aos principais sistemas e aplicativos de negócios usando seus próprios roteadores e redes domésticas nunca testados anteriormente — e possivelmente vulneráveis. A popularidade dos dispositivos de internet das coisas (IoT) faz deles possíveis vetores de ataque. A rede doméstica média pode ter a Alexa da Amazon ou outra ferramenta ativada por voz, TVs conectadas à internet, aparelhos de videogame e variados notebooks, tablets e telefones pertencentes a cônjuges, filhos ou outras pessoas da casa.

O Brookings Institute estima que, a partir de 9 de abril de 2020, até metade dos trabalhadores nos EUA estavam trabalhando de casa, o que chamamos de "mudança em larga escala". De fato, um estudo da Pew Research mostra que, antes da pandemia, apenas 7% dos trabalhadores civis nos Estados Unidos — aproximadamente 9,8 milhões dos cerca de 140 milhões desses trabalhadores no país — tinham acesso a um benefício de "local de trabalho flexível" ou opção de teletrabalho.

Já os criminosos cibernéticos estão em investida para tirar vantagem da superfície de ataque, que está crescendo exponencialmente. De acordo com o estudo da Forrester, em meados de abril de 2020, quatro em cada dez organizações (41%) já tinham sofrido pelo menos um ataque cibernético que afetou os negócios* como resultado de um esquema de phishing ou malware relacionado à COVID-19. Com base em uma pesquisa online com mais de 800 líderes de negócios e segurança cibernética de dez países, os dados são extraídos do estudo A Ascensão do Executivo de Segurança Alinhado ao Negócio. 

Os golpes relacionados à COVID foram a principal fonte de todos os ataques cibernéticos relatados no estudo que afetaram os negócios. Embora a Organização Mundial da Saúde tenha declarado a COVID-19 como pandemia apenas algumas semanas antes, no momento em que a pesquisa foi realizada, os ataques relacionados à COVID já haviam ultrapassado outros ataques que afetam os negócios, como fraude (40%), violação de dados (37%), ransomware (36%) e vulnerabilidades de software (34%).

Em nível pessoal, achei os resultados da pesquisa uma validação estranha: eles confirmam que eu não sou o único líder de segurança preocupado com essas tendências. Dois em cada três participantes da pesquisa da Forrester (67%) afirmam estar muito ou extremamente preocupados com a possibilidade de as mudanças na força de trabalho causadas pela COVID-19 aumentarem o nível de risco da sua organização. 

Para piorar as coisas, cerca de metade dos líderes de segurança cibernética (48%) pesquisados afirmam ter apenas visibilidade moderada ou não ter visibilidade dos seus funcionários remotos que estão trabalhando em casa.

Uma das principais formas de acabar com essa desconexão é as organizações incorporarem a segurança cibernética ao desenvolverem estratégias de gerenciamento de riscos. 

Como o gerenciamento de riscos pode ajudar você a se tornar um líder de segurança cibernética alinhado ao negócio 

CISOs, CSOs e outros líderes de segurança cibernética são perfeitos para assumir um papel mais proeminente no gerenciamento de riscos e nas disciplinas relacionadas de continuidade de negócios, recuperação de desastres e gerenciamento de crises. Nosso trabalho nos coloca diretamente na intersecção entre tecnologia e negócio. Temos visibilidade de todos os sistemas, dados e processos necessários para cumprir um plano de continuidade de negócios e recuperação de desastres. O envolvimento no gerenciamento de riscos também pode facilitar a administração do seu trabalho: se você for capaz de entender todos os seus processos e ativos críticos de uma ampla perspectiva de risco corporativo, a segurança cibernética ficará mais forte. 

Também há um benefício operacional claro com a realização de exercícios de gerenciamento de riscos, que podem atuar como uma ponte entre o negócio e a InfoSec da organização. O que for revelado no processo ajudará toda a organização a entender a melhor forma de priorizar os recursos humanos e financeiros para manter o negócio em funcionamento mesmo em tempos de crise.  

Sentara Healthcare: um estudo de caso de alinhamento eficaz

A Sentara Healthcare oferece um estudo de caso de alinhamento eficaz. Em uma entrevista para a Tenable, Dan Bowden, CISO da Sentara Healthcare, observou que, no início da pandemia, as equipes de TI e segurança da organização perceberam-se incumbidas de duas tarefas cruciais: viabilizar o trabalho remoto de um grande número de funcionários e ajudar a converter quartos regulares de hospital em quartos de unidade de terapia intensiva (UTI), trocando os sistemas de tecnologia operacional (OT) e Internet das Coisas (IoT) necessários para atender um fluxo repentino de pacientes gravemente doentes.

"Eu diria que, em março e abril, mais de 50% da nossa iniciativa total de trabalho foi dedicada a desenvolver os recursos dos quartos de UTI e descobrir como [poderíamos] usar a tecnologia para reduzir a queima de equipamentos de proteção individual (EPIs)", afirmou Bowden.

Embora as transições tenham, por fim, sido bem-sucedidas, o processo de aplicação de patches da organização acabou tornando-se uma completa desordem durante dois meses.

"Eu sou um CISO bastante agressivo em verificação de vulnerabilidades e minha equipe também", disse Bowden. "Nós temos uma política baseada em demanda em relação ao que acontece quando encontramos uma nova vulnerabilidade. E tivemos que ajustar um pouco nosso tempo de verificação de vulnerabilidades e nossa política de patches porque nossas equipes de TI estavam trocando os leitos nos hospitais. Um quarto [de hospital] regular é configurado de uma certa forma, sob a perspectiva de tecnologia. Quando o transformamos em um quarto de UTI, ocorre uma mudança em cascata em vários sistemas e aplicações de tecnologia. Nossas equipes de infraestrutura e aplicações estavam muito ocupadas mudando o pequeno número da superfície de leitos de UTI que oferecíamos para um número muito grande. Portanto, tivemos que descobrir como continuar cumprindo nosso cronograma de patches de modo que pudéssemos gerenciar os riscos com eficiência e eficácia. Para isso, contamos muito com o Vulnerability Priority Rating da Tenable. Nós provavelmente o usamos de forma muito mais agressiva nesse primeiro semestre do que no passado."

Em junho, o processo de aplicação de patches estava restabelecido. Agora, com a aproximação do quarto trimestre, Bowden depara-se com decisões orçamentárias significativas, pois muitos setores sofreram o impacto econômico da COVID-19. "Estamos tentando reduzir [as despesas operacionais] e voltar a cumprir o orçamento. Como podemos fazer de 2020 um ano de equilíbrio? Estamos muito focados nas atividades básicas, mas operações de portas abertas e nas novas solicitações que possam surgir em decorrência de variações na propagação da COVID-19."

Bowden acrescenta: "Temos uma equipe de liderança muito progressista, que pede a todos nós: 'sejam criativos, ajudem-nos a descobrir como podemos crescer em meio a tudo isso'.Temos alguns projetos grandes para abordar isso também." 

Como mostrar o retorno dos investimentos em segurança cibernética

Em um momento em que as organizações do mundo todo enfrentam um período de incerteza econômica possivelmente longo, a priorização dos investimentos com base no risco torna-se mais crítica do que nunca.O estudo da Forrester mostra que, quando a segurança e o negócio estão alinhados, entregam resultados notáveis. Por exemplo, 85% dos líderes de segurança alinhados ao negócio têm métricas para rastrear o ROI de segurança cibernética e o impacto no desempenho dos negócios, em comparação com apenas um quarto (25%) de seus pares mais isolados e reativos de outras áreas.O líder de segurança alinhado aos negócios tem oito vezes mais chances do que seus pares mais isolados de estarem confiantes em sua capacidade de relatar o nível de segurança ou risco de suas organizações.E a grande maioria (86%) tem um processo que articula claramente as expectativas e demonstra a melhoria contínua dos processos, em comparação com apenas 32% de seus pares mais isolados e reativos. 

Envolver-se no desenvolvimento da estratégia de Enterprise Risk Management (ERM) da sua organização coloca você no rumo certo para se tornar um líder em segurança cibernética alinhado ao negócio.

Estas seis etapas ajudarão você com a identificação e a avaliação inicial do risco corporativo:

1. Desenvolva e distribua uma pesquisa de avaliação de risco às principais partes interessadas. Essa pesquisa é normalmente enviada para o nível de diretoria sênior e cargos acima e deve incluir representantes de todos os grandes departamentos da organização, como financeiro, jurídico, recursos humanos, tecnologia da informação, segurança da informação, vendas, operações, marketing e P&D. Assim que a pesquisa for concluída, você deverá organizar as respostas em categorias de risco para que seja possível compilar um inventário dos riscos corporativos.
2. Conduza a pesquisa e a análise para comparar os riscos corporativos da sua organização com as pesquisas de risco do setor.
3. Desenvolva uma metodologia de avaliação de riscos, incluindo probabilidade e impacto, para obter uma classificação do risco total. 
4. Identifique os principais líderes da sua organização e reserve um tempo para entrevistá-los e obter um feedback sobre os riscos e a priorização, bem como a probabilidade e o impacto dos riscos.
5. Apresente os resultados da avaliação de risco aos executivos para finalizar os principais riscos e designar os responsáveis pelos riscos executivos.
6. Trabalhe com os responsáveis pelos riscos executivos para identificar atividades de mitigação para os principais riscos.

A execução das etapas acima é um exercício trabalhoso, mas que rende um alto grau de benefícios ao lhe oferecer um conjunto claro de prioridades. Você terá uma lista acordada de riscos corporativos. Embora a segurança cibernética provavelmente seja seu próprio risco corporativo autônomo, ela com certeza afetará muitos ou todos os riscos corporativos de alguma forma. 

Combine a avaliação de risco corporativo com uma análise de impacto ao negócio — essencial à continuidade dos negócios e à recuperação de desastres para determinar os sistemas e os processos de negócios críticos, cuja ausência mais prejudicaria a organização — e os dois atuarão como uma base para o desenvolvimento de uma estratégia de segurança cibernética alinhada ao negócio.Você extrairá uma lista dos seus processos e riscos corporativos mais críticos, tornando igualmente possível priorizar de forma clara as respostas em um momento de crise, independentemente de a crise advir de um ataque cibernético, de um desastre natural ou de uma pandemia mundial, e na retomada das operações normais do negócio. 

Em épocas de estabilidade, é muito fácil para as organizações tratarem o gerenciamento de riscos corporativos como um mero exercício de assinalar com X, perfeito nas mãos de uma equipe segregada de profissionais de risco. Com a COVID-19, os líderes de negócio e de tecnologia se viram inscritos em um curso intensivo de gerenciamento de crises. Depende de cada um de nós encarar este momento como uma oportunidade para repensar nossa abordagem ao risco corporativo de modo a estarmos mais bem preparados para os tempos de crise e bem posicionados para colhermos os benefícios quando as coisas estiverem indo bem. 

Leia a série do blog: Como tornar-se um líder de segurança cibernética alinhado ao negócio

As postagens anteriores desta série focavam nos desafios de alinhar a segurança cibernética e o negócio e em por que os líderes da segurança cibernética têm tanta dificuldade para responder à pergunta: "Qual é nosso nível de segurança?". Também examinamos o que as estratégias de resposta à COVID-19 revelam sobre a desconexão entre a área cibernética e o negócio, discutimos por que as métricas de segurança cibernética existentes são insuficientes para comunicar o risco cibernético e exploramos cinco etapas para chegar a um alinhamento com o negócio. e fornecemos uma visão sobre um dia na vida de um líder de segurança cibernética alinhado ao negócio.

Saiba mais:

• Veja destaques adicionais do estudo aqui.
• Faça o download do estudo completo A Ascensão do Executivo de Segurança Alinhado ao Negócio.
• Leia as postagens: Alinhar a segurança cibernética e os negócios: ninguém disse que seria fácil e Por que os líderes de segurança cibernética têm dificuldades para responder à pergunta "Qual é nosso nível de segurança?"
• Faça o download da publicação técnica O que é necessário para ser um líder de segurança cibernética alinhado ao negócio.
• Leia o ebook: Como tornar-se um líder de segurança alinhado ao negócio.
• Ouça a série de podcasts sobre Cyber Exposure: Entrevista com o CSO da Tenable, Bob Huber.

*Para os fins desta pesquisa, "afetar os negócios" refere-se a um ataque cibernético ou comprometimento que resulte em uma ou mais das seguintes opções: na perda de dados de clientes, de funcionários ou outros dados confidenciais; interrupção das operações diárias; pagamento de ransomware; perda ou roubo financeiro; e/ou roubo de propriedade intelectual.