Por que uma estratégia de cibersegurança baseada em risco é o caminho a percorrer

A expansão da equipa de vendas vai gerar mais lucro? O lançamento de novos produtos vai chegar ao mercado antes da concorrência? No entanto, a cibersegurança é outra área crítica em que o risco deve ser constantemente avaliado.

O risco de interrupções imprevistas do serviço, sem mencionar os muitos custos diretos e indiretos da perda de dados, é substancial. Praticamente tudo o que uma organização faz hoje é digitalizado. Adicionar a nova realidade de classes totalmente novas de endpoints digitais faz com que os hackers tenham mais oportunidades do que nunca para causar estragos.

Embora o impacto desses e de outros riscos de cibersegurança seja inegável, muitas organizações não conseguem construir as suas estratégias de cibersegurança em torno do conceito de risco.

A conformidade obscurece a visão organizacional da cibersegurança

À medida que surgem mais regulamentos de conformidade e penalidades mais severas para violações, os líderes empresariais tomaram como prioridade o cumprimento dos regulamentos.

Em paralelo, os atacantes estão a monitorizar ativamente os requisitos regulatórios e a ajustar as suas táticas em tempo real.

Definir o risco de cibersegurança e implementar os recursos, estratégias e proteções corretos requer uma perspectiva mais ampla e baseada em negócios do que o padrão “vamos seguir o protocolo”. Em muitas organizações, a função de auditoria geralmente orienta as decisões sobre como, quando e onde gastar dinheiro em cibersegurança.

A maioria das organizações de menor dimensão, adota uma abordagem centrada no risco para as suas estratégias de cibersegurança. Talvez seja porque estas não têm tantos obstáculos de conformidade para superar; no entanto, é provável que eles simplesmente não tenham orçamento ou pessoal para visualizar todos os problemas de segurança. Neste tipo de organizações, a abordagem de cibersegurança é muito mais direta e mais apropriada para o cenário cada vez mais complexo de hoje:

• Concentrar-se onde o risco de cibersegurança pode causar mais danos à organização; 
• Definição das áreas de maior risco; 
• Tomar decisões fundamentadas e baseadas em factos sobre onde alocar os recursos.

Definindo e medindo o risco organizacional

A maioria dos líderes empresariais está familiarizada com a definição clássica de risco: qual é a probabilidade de algo de mau acontecer e qual seria o impacto se isso acontecesse?

Um primeiro passo importante é estabelecer um entendimento comum sobre como medir especificamente o impacto do risco de cibersegurança.

As grandes empresas geralmente subestimam substancialmente o risco de cibersegurança porque não têm uma compreensão real de onde seus dados são armazenados ou quantos sistemas, processos e “coisas” estão conectados à Internet, diretamente ou por meio de serviços na cloud.

O próximo passo é discutir a probabilidade. As discussões sobre probabilidade em cibersegurança exigem um certo nível de conhecimento técnico que é escasso na maioria das empresas. Hoje, os líderes das empresas devem simplesmente assumir que o risco de qualquer coisa conectada à (ou por meio) da Internet é uma possibilidade e qualquer proteção ou recursos de deteção existentes reduzirão, mas não eliminarão, esse risco.

Obtenha ajuda externa para avaliar o seu risco cibernético

Recorrer a organizações externas experientes e com provas dadas para avaliar a exposição a riscos de uma organização e o seu impacto nos negócios deve ser uma prática a seguir.

Ter a orientação de um parceiro qualificado é uma mais valia, dando capacidade de mergulhar fundo o suficiente nos detalhes para entender completamente os riscos das empresas. Estes parceiros oferecem uma perspetiva que poucas organizações internas podem igualar. A realidade é que uma opinião externa conta muito, sendo as suas perspetivas muito valiosas para entender o verdadeiro cenário de “pior caso”.

Quando enquadrada corretamente entre todas as partes interessadas, uma opinião externa qualificada pode fornecer confiança, clareza e consistência na identificação, avaliação e contabilização do risco de cibersegurança.

Avaliar o risco com base na visão do que é possível

Por fim, é importante ter em mente que só porque algo nunca havia acontecido antes, não elimina a possiblidade de acontecer. Não tomar nada como garantido, por mais remotas que fossem suas chances ou sem precedentes. Para entender adequadamente o risco é necessário levar a imaginação ao limite para identificar, avaliar, medir e minimizar riscos.

Conteúdo co-produzido pela MediaNext e Palo Alto Networks