Reduzir o risco do negócio: como evoluir a abordagem de segurança

A Gartner estima que as despesas globais em segurança e gestão de riscos alcançarão os 215 mil milhões de dólares em 2024, um aumento de 14,3% face ao ano anterior. Os orçamentos têm de cobrir mais despesas, tais como os custos de prevenção para potenciais ameaças, o acompanhamento do crescimento das superfícies de ataque e o suporte dos novos sistemas de TI. Um pequeno exemplo - o número de vulnerabilidades de um software que foram transformadas em armas aumentou para 152 em 2023, um valor superior ao valor dos últimos três anos anteriores combinados. 

O ambiente empresarial está a mudar. Atualmente, os líderes empresariais concentram-se mais na rentabilidade do que no crescimento, devido à mudança das taxas de juro. Houve momentos em que fazia sentido investir no crescimento e na quota de mercado. Atualmente, a rentabilidade e o controlo dos custos são mais importantes. E qual é o verdadeiro impacto desta situação? As organizações estão a cortar os seus custos operacionais, o que inclui despesas com a segurança. Embora não cortem nas despesas, a taxa de crescimento será muito menor ao longo do tempo.

Tendo em conta este cenário de contenção de custos, como é que os CISO podem fazer o seu trabalho, garantindo a segurança das suas empresas e os orçamentos contra estes cortes? Como podem garantir que os conselhos de administração e os diretores executivos sabem o que é essencial para a empresa? E como garantem a utilização eficaz dos orçamentos? Para o conseguir, as empresas têm de considerar o risco empresarial.

O desafio prende-se com a direção e se esta se encontra ciente dos riscos. Enquanto CISO, torna-se uma tarefa fácil tratar o risco de TI e o risco da empresa como se fossem a mesma coisa, mas estes riscos são bastante distintos. Em vez de olharmos para o lado da tecnologia, temos também de pensar no impacto empresarial que os riscos podem ter e explicar como é que as ameaças à segurança informática se comparam com esses critérios. Precisamos de uma nova abordagem, focada no que é importante para a empresa em termos de risco e que garanta que as questões de segurança. 

O que há a mudar

Para atingirmos os nossos objetivos no futuro, temos de olhar para o nosso propósito no negócio como um todo. O objetivo moderno dos CISO e das equipas de segurança de TI deve ser reduzir o risco da empresa, garantindo o seu desempenho eficaz no mercado. Embora derrotar os nossos “adversários digitais” e combater as ameaças seja importante, estes não são os principais objetivos que as empresas devem perseguir. Em vez disso, são consequências derivadas do objetivo global atingido - permitir que a empresa vença. 

Se perdermos de vista esse objetivo comercial, ou continuarmos a pensar na nossa posição apenas como uma questão de tecnologia, deixamos de produzir o valor que a empresa reconhece e apoia. Esse valor é a eliminação do risco que impede a organização de ser bem-sucedida na sua missão ou objetivo.

As empresas necessitam de desenvolver os nossos processos de segurança operacional e entender como estes interagem entre si. O primeiro passo é medir o risco de cibersegurança em todas as superfícies de ataque. Isto é algo que todas as equipas de segurança de TI deveriam estar a fazer atualmente, mas os resultados podem muitas vezes ser incompletos ou fragmentados. 

A solução passa por reunir todos estes dados num único local para facilitar a compreensão da atividade que está a decorrer em toda a equipa. Este exercício pode assinalar potenciais áreas em que pode melhorar a sua abordagem à gestão de ativos e à medição da eficácia da segurança. No entanto, o maior retorno é obter uma visão única de todos os seus programas e da forma como estes garantem a proteção das superfícies de ataque. Isto pode então ser traduzido em métricas que a equipa comercial possa compreender, com base na integração e quantificação dos valores dos ativos, dados de informações sobre ameaças, estado das vulnerabilidades e potencial impacto comercial, oferecendo os valores monetários para esses impactos.

Através destes dados calcula-se o risco de cibersegurança: o quanto é que um ataque representaria um risco realista e qual seria o impacto resultante em termos monetários? Obter estes dados para as TI foi um processo difícil no passado, mas passar por esse exercício facilita a criação de métricas e a resposta às questões comerciais em torno da segurança e do risco potencial. Por exemplo, que combinações de ativos, ameaças e vulnerabilidades são mais suscetíveis de perturbar os serviços? Mais importante ainda, como é que isso se traduziria em clientes frustrados e rotatividade, impacto regulamentar, coimas e perda de receitas? 

Este exercício também permite medir o risco e os resultados da segurança informática, juntamente com outros riscos comerciais que a direção acompanha, como o desempenho da cadeia de fornecimento, os resultados das vendas em relação aos objetivos ou as alterações dos clientes. Colocar todos estes dados no mesmo formato facilita o debate sobre os resultados, bem como a identificação de lacunas existentes que têm de ser colmatadas.

Paralelamente, pode melhorar os seus processos de segurança para remover ou eliminar riscos. Isto implica a correção de problemas, como as vulnerabilidades de software que podem ser corrigidas, e a aplicação de medidas de atenuação para as vulnerabilidades que não podem ser resolvidas. No que respeita à correção, a aplicação de patches é a abordagem mais eficiente para resolver estes problemas. A automatização da implementação de correções acelera ainda mais este processo. Para os problemas que não podem ser corrigidos, devido à falta de atualizações ou ao impacto comercial, as medidas de atenuação podem reduzir os riscos potenciais.

A visão a longo prazo da segurança

Para os CISO, o papel da segurança é evitar os riscos e impedir a perda de dados ou a interrupção de serviços que ponham em causa a atividade de negócio. No entanto, as antigas formas de o fazer não são capazes de acompanhar os níveis de ataques atuais. Do lado da empresa, as reduções nas despesas e na eficiência operacional afetarão a forma como as equipas empresariais consideram o risco e a segurança. Do lado da tecnologia, o crescimento da inovação nativa da cloud e da IA expandiu as superfícies de ataque e afetou a forma como as equipas de segurança competem com os agentes de ameaças na implementação e execução de ataques. 

Já não é suficiente pensar apenas em tornar a empresa segura contra todas as ameaças possíveis. Em vez disso, temos de mudar a nossa abordagem para reduzir os riscos a que as empresas estão expostas, fazendo com que esta se possa antecipar aos mesmos. Ao dar prioridade aos riscos que têm o maior impacto e os níveis de risco mais elevados, podemos demonstrar que as equipas de segurança podem proporcionar uma gestão eficaz dos riscos para toda a empresa e não apenas para as TI.

Esta é uma mudança necessária que requer a ação dos CISO. Tenha isto em conta e inove na forma como gere o risco para o futuro da sua empresa.