O gerenciamento de riscos corporativos perante à segurança cibernética

Anna Mazzone, MD e GM do Reino Unido e Irlanda na MetricStream, discute o papel da segurança cibernética no gerenciamento de riscos corporativos.

A importância da segurança cibernética nunca foi tão aguda, com violações de dados e ciberincidentes regularmente fazendo manchetes. As consequências dos ataques cibernéticos podem ser de longo alcance e duradouras, e nenhuma organização é segura. O impacto pode incluir custos financeiros, interrupções operacionais e – o mais significativo de todos – danos à reputação de longo prazo e perda de confiança.

Para cada organização, existe uma necessidade urgente de proteger seus dados e salvaguardar sua capacidade de operar. Isso requer uma compreensão profunda do risco de segurança cibernética, uma abordagem estruturada para gerenciá-lo e o alinhamento do risco de segurança cibernética ao apetite de risco da empresa, aos limites e aos objetivos de negócios organizacionais.

Desde o início, tanto o rigor quanto a flexibilidade são fundamentais: rigor na implementação e aplicação de práticas de gerenciamento de riscos e flexibilidade na adaptação ao cenário de segurança cibernética em constante evolução.

De acordo com uma pesquisa da PwC realizada em 2017, o custo total de incidentes cibernéticos para empresas do Reino Unido foi em média de £ 857.000. O impacto financeiro pode incluir o custo de corrigir o problema, perda de receita durante a interrupção e até multas de multa se houver uma violação regulamentar. O impacto de longo prazo sobre a marca é, obviamente, o mais difícil de estimar, mas é possivelmente a maior figura de todas.

Probabilidade de alto risco: Alto impacto

O impacto de um incidente de segurança cibernética é, portanto, alto e há também um alto risco de tal incidente ocorrer. Tanto é verdade que, no Global Risks Report 2018 do Fórum Econômico Mundial , os ciberataques estão entre os três principais riscos em termos da probabilidade de ocorrerem.

No entanto, enquanto a PwC relata que 64% das organizações do Reino Unido têm uma estratégia de segurança geral em vigor, apenas 34% dos conselhos participam ativamente da estratégia. Isso, apesar do alto nível de risco de segurança cibernética e do custo calculável e incalculável para os negócios desse risco.

Para mitigar esse risco e proteger a organização e seus ativos, a segurança cibernética deve ser incluída no plano geral de gerenciamento de risco corporativo (ERM). Isso permite que as empresas envolvam todas as partes interessadas e linhas de negócios necessárias nas decisões estratégicas e ajuda as empresas a responder com a velocidade necessária aos ataques cibernéticos.

Considerações de segurança, muitas vezes levadas em conta somente depois que um sistema ou processo foi projetado, devem ser parte integrante do planejamento, projeto e tomada de decisões. É um ethos que, de fato, está inscrito no recém-lançado Regulamento Geral de Proteção de Dados (GDPR), aplicável a todas as organizações que processam dados pessoais de indivíduos na União Europeia. Ele exige “proteção de dados por design e por padrão”, de modo que essa proteção seja incorporada aos processos e práticas desde o início e ao longo do processo.

Cibersegurança no plano de ERM

Ao incorporar a segurança cibernética no ERM, é importante abordar esses quatro fatores de impacto:

  1. Envolvimento de diretoria e liderança – isso é essencial na criação de um plano de resposta à segurança cibernética, até porque uma resposta de ataque cibernético abrangerá departamentos e disciplinas em toda a empresa. O risco real e ameaçador de um incidente de segurança cibernética é um risco de negócio, não apenas de TI. O envolvimento da liderança não só permite que uma cultura de gestão de riscos – em si mesma, um resultado importante -, mas também que seja feito progresso prático em áreas como orçamento e recursos. Toda organização deve conhecer o impacto financeiro, comercial e de reputação de um ataque cibernético e deve alocar orçamentos e recursos com base em seu apetite de risco e limites de tolerância a riscos.
  2. Uma taxonomia comum – A taxonomia comum permite que os funcionários em todas as funções desenvolvam um entendimento comum em relação ao gerenciamento de riscos. Também permite que os vários componentes do gerenciamento de riscos, como processos, ativos, estrutura organizacional, políticas, declarações de risco, controles e métricas, sejam harmonizados e interligados, de modo que a alta gerência possa ter uma visão consistente do estado geral de prontidão. Por meio de descrições compartilhadas e consistentes de métricas importantes, como probabilidade, impacto e limites, todas as partes envolvidas no planejamento de segurança cibernética e na mitigação de riscos podem compartilhar um entendimento comum.
  3. Resiliência a riscos e continuidade de negócios – Um plano de continuidade de negócios com foco em segurança cibernética é essencial para todas as empresas digitais atuais. Deve conter os principais papéis e responsabilidades, juntamente com atividades de comunicação claras e sua coordenação. Para responder de forma rápida e decisiva e minimizar o máximo possível de danos, o plano deve ser exercido como um exercício de mesa, mantido atualizado com base nas descobertas do exercício e deve estar disponível com várias equipes em todos os dispositivos a serem ativado rapidamente no evento infeliz é necessário.
  4. Visão de risco – A segurança cibernética como parte do ERM requer informações que estão espalhadas pelos sistemas e departamentos. A capacidade de agregar e harmonizar os dados, bem como de poder atualizá-los em tempo real, é fundamental para dar suporte à derivação de insights de risco mais ricos e mais imediatos, que podem ser aplicados para obter uma vantagem competitiva.

O planejamento efetivo sustenta a segurança cibernética efetiva. Com o risco de ataques cibernéticos tão altos, não há razão defensável para não ter planos robustos de continuidade de negócios e ERM. Esses planos devem abordar todos os problemas imagináveis ​​de segurança cibernética e ser regularmente testados e atualizados.

Cibersegurança no ERM: uma lista de verificação

Uma maneira de iniciar uma avaliação da segurança cibernética em uma estrutura de ERM é fazer cinco perguntas simples:

  1. Os ataques cibernéticos são considerados uma das principais ameaças?
  2. A segurança cibernética é uma questão de gerenciamento de riscos em toda a empresa, e não apenas um risco de TI?
  3. Quão comprometido é o CEO e o conselho no gerenciamento de riscos de segurança cibernética?
  4. Existe um plano de continuidade de negócios para lidar com as conseqüências de um ataque cibernético?
  5. Como a inteligência / monitoramento de ameaças é incorporada nos esforços de segurança cibernética e avaliação de risco?

É importante que essas perguntas possam ser respondidas como parte da avaliação da segurança cibernética e do ERM, mas também que a compreensão e o planejamento abrangentes devam se basear em cada resposta. Falhar brevemente em qualquer uma dessas áreas pode resultar em uma falha na proteção dos dados e ativos da empresa – e não apenas na marca e reputação  e na capacidade da empresa de operar no curto prazo e crescer a longo prazo.

A segurança cibernética deve formar uma parte integrada do plano geral de ERM se uma organização quiser reduzir os riscos e permanecer segura. Por meio do planejamento correto, do envolvimento e defesa da liderança sênior e das soluções de gerenciamento de risco em apoio a um plano abrangente de ERM, as empresas podem obter um entendimento mais abrangente do nível de risco de segurança cibernética e sustentar medidas de mitigação.

intelligentciso.com


 

print
Share and Enjoy:
  • Facebook
  • В закладки Google
  • LinkedIn
  • Twitter
  • MySpace
  • Яндекс.Закладки
  • Reddit
  • StumbleUpon
  • Technorati
  • del.icio.us
  • Digg
  • БобрДобр
  • MisterWong.RU
  • Memori.ru
  • МоёМесто.ru
  • LiveJournal
  • Сто закладок
  • Добавить ВКонтакте заметку об этой странице
  • Мой Мир
  • FriendFeed
  • Google Buzz

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *