3 linhas de defesa para a mitigação de riscos cibernéticos

Não espere sua organização ser impactada por um incidente cibernético para agir

É fato que a preocupação em relação aos riscos cibernéticos ganhou a atenção da alta administração de muitas empresas e dos governos, especialmente com a grande cobertura que a mídia tem dado para o assunto, como por exemplo o caso do WannaCry ocorrido em maio de 2017.

De acordo com relatório “The Global Risks Report 20181”, desenvolvido anualmente pelo Fórum Econômico Mundial, Ataques Cibernéticos são o 3º risco em termos de probabilidade, seguido por Roubo ou Fraude de Dados (4ª posição) que também tem relação direta com a segurança cibernética. Em 2016 o risco de ataques cibernéticos não constava no Top 10.

Adicionalmente, os órgãos reguladores no mundo todo têm promulgado leis, regulamentos e orientações que endereçam essa preocupação em relação ao tema segurança cibernética. Como exemplo, o Banco Central do Brasil (BACEN) publicou no último dia 26 de abril a resolução 4.658 que determina que as Instituições Financeiras brasileiras devem definir e implementar uma política e medidas de proteção cibernética, além de monitorar e gerenciar os incidentes cibernéticos.

Desafio de gerenciar os riscos cibernéticos
Em diversas organizações no Brasil o tema segurança cibernética é delegado à área de Tecnologia da Informação (TI), uma vez que o componente tecnológico é visto como o principal mecanismo de proteção a ser implementado e gerenciado. Outro fator que contribui para o foco tecnológico da gestão dos riscos cibernéticos é o desconhecimento dos executivos da organização em relação aos riscos envolvidos e seu real impacto no negócio.

O que algumas empresas não levam em consideração é que quando ocorrem incidentes, a organização pode ser impactada de diversas maneiras. Por esse motivo, os riscos cibernéticos devem ser gerenciados como um risco de negócio, com o mesmo nível de atenção e diligência dos outros riscos corporativos.

Integrando riscos cibernéticos nas três linhas de defesa
Estabelecendo como uma premissa fundamental que risco cibernético é um risco de negócio, faria sentido utilizarmos as estruturas, metodologias, práticas e ferramentas de Gestão de Riscos Corporativos para identificar, classificar, analisar, tratar e monitorar os riscos cibernéticos?

A resposta é sim. E uma vez que a forma de gestão, e principalmente de apresentação e comunicação, dos riscos corporativos é conhecida pela Alta Administração, se torna um pré-requisito a tradução do linguajar técnico, comumente utilizado para comunicar os riscos cibernéticos, para riscos de fácil entendimento de profissionais que não possuem o conhecimento técnico em segurança cibernética, porém conhecem profundamente do negócio da organização, e como riscos podem impactar no atingimento dos objetivos estratégicos ou operacionais.

Do ponto de vista de governança de riscos, a estrutura das Três Linhas de Defesa2 (3LoD – Line of Defense) está sendo amplamente divulgada e implementada pelas organizações.

Como adotar essa estrutura para gerenciar os riscos cibernéticos de uma forma holística e integrada?
Em primeiro lugar, é importante determinar as atribuições de cada linha de defesa para que não haja sobreposição e retrabalho, especialmente no cenário atual de busca constante de otimização de custos nas empresas brasileiras.

Primeira linha de defesa
A 1ª linha de defesa é responsável por implementar e operacionalizar os controles para mitigar os riscos cibernéticos. A tradicional função de segurança de TI se enquadra nesse papel, uma vez que geralmente é responsável por implementar e gerenciar processos e soluções tecnológicas relevantes para a segurança cibernética, tais como desenvolvimento de software seguro, gestão de acessos, gestão de vulnerabilidades e atualização de software, monitoração de eventos de segurança, entre outras.

Entretanto, outras áreas da organização também possuem um papel importante na gestão de riscos cibernéticos:

– Recursos Humanos: Geralmente, os colaboradores de uma organização são o elo mais fraco para assegurar uma adequada segurança cibernética, e deve-se dar o devido nível de atenção do momento da contratação até o desligamento do colaborador. Para que isso ocorra, o departamento de Recursos Humanos deve estar alinhado e conhecer o seu papel na gestão de riscos cibernéticos;

– Suprimentos/Compras: Durante a contratação de um fornecedor, diversas atividades devem ser coordenadas pela área, em conjunto com a área contratante e com o apoio da Segurança da Informação Corporativa (2ª linha de defesa que discutiremos logo a seguir neste artigo), para assegurar que os devidos cuidados foram tomados em relação à seleção do terceiro. Uma adequada gestão de riscos de segurança da informação em terceiros (fornecedores e parceiros) deve ser definida e implementada pela organização. Você tem conforto e confiança de que os seus fornecedores e parceiros tratam a sua informação com o mesmo nível de diligência que a sua organização?

Outras áreas também possuem um papel fundamental nessa gestão de riscos cibernéticos corporativos como Segurança Patrimonial/Física, áreas de negócio e de Inovação e Digital.

Entretanto, como atuar de forma integrada e organizada?

A resposta é a 2ª linha de defesa.

riscocibernetico

Segunda linha de defesa
É responsável por definir as diretrizes e monitorar o cumprimento pela 1ª linha de defesa.

Na gestão de riscos cibernéticos, a proposição é a existência de uma função de Segurança da Informação Corporativa independente.

Cabe a essa área a responsabilidade por:

– Definir a visão, missão e estratégia para gestão dos riscos cibernéticos na organização alinhada à estratégia do negócio e apetite ao risco;

– Definir as diretrizes e suportar a 1ª linha de defesa na implementação das políticas, normas e procedimentos considerando seus papéis e responsabilidades;

– Realizar o treinamento e conscientização dos colaboradores da organização fomentando uma cultura de segurança cibernética;

– Identificar, classificar, analisar, tratar e monitorar os riscos cibernéticos;

– Apoiar na gestão de riscos em terceiros (fornecedores e parceiros) durante a seleção do terceiro e durante todo o ciclo de vida do relacionamento da organização com esse terceiro.

– Atuar na resiliência e continuidade de negócios (Plano de Continuidade Operacional, Plano de Recuperação de Desastres de TI e Gestão de Crises);

– Realizar o monitoramento dos indicadores e da conformidade da organização e dos terceiros.

Terceira linha de defesa
Por fim, a Auditoria Interna necessita de profissionais capacitados e com conhecimento técnico para realizar avaliações independentes que permeiam o ciclo completo de gestão de riscos cibernéticos. É preciso considerar os riscos cibernéticos em todas as auditorias de estratégia, governança e processos da organização e não somente das áreas de TI e Segurança.

O risco cibernético é um risco de negócio e sua efetiva gestão permeia as diversas áreas da organização. O conceito de três linhas de defesa auxilia na estruturação e definição clara dos papéis e responsabilidades de forma que a atuação seja integrada.

Não espere sua organização ser impactada por um incidente cibernético para agir. Entenda como os riscos cibernéticos estão evoluindo e afetam a sua organização, mantenha-se à frente das novas regulamentações, integre uma adequada estratégia e cultura de segurança cibernética dentro da organização, trabalhe integradamente junto aos terceiros para proteger todo o ecossistema do negócio focando nos ativos críticos que não podem ser comprometidos.

*Sergio Kogan é Líder em Cybersecurity da EY Brasil; Henrique Quaresma é Gerente sênior especialista em gestão de riscos cibernéticos da EY Brasil