Risco (TI) ou não risco: este é o dilema

Normalmente, o risco está associado à probabilidade de um evento, geralmente adverso, causar danos. Esse conceito um tanto vago pode ser resumido na terminologia de TI: risco de TI é a probabilidade de que uma ameaça possa afetar os sistemas de informação . Enquanto para nossos sistemas os danos podem ser causados ​​por mau funcionamento do computador, perda parcial de dados, uso não autorizado de nossos usuários, para uma empresa os danos resultam em múltiplas variáveis: danos à reputação, danos físicos aos sistemas e perdas econômicas. Portanto, fica claro que tentar conter o risco cibernético é fundamental para todas as empresas, pois não é possível ter risco zero.

O recente estudo da Trend Micro , conhecida empresa de segurança de TI, em colaboração com o Ponemon Institute, se encaixa nesse contexto. O objetivo é destacar a capacidade de gestão de riscos nas empresas . A análise se concentra em três macroáreas geográficas: América, Europa e Ásia. A imagem que surge não é das mais otimistas, pois globalmente persiste um alto risco definido (em uma escala de valores de -10 a 10, onde -10 é o risco máximo para uma empresa).

O CRI (IT Risk Index) calculado pela TrendMicro. Créditos: TrendMicro
O CRI (IT Risk Index) calculado pela TrendMicro. Créditos: TrendMicro

No entanto, também deve ser observado que a pesquisa é baseada em entrevistas com clientes da Trend Micro e, portanto, em avaliações subjetivas do pessoal das empresas entrevistadas. O índice de risco é calculado com base em dois componentes: por um lado, a capacidade de identificar uma ameaça (ou seja, estar pronto para reagir) e, por outro, a capacidade de responder a um ataque quando ele está em andamento. Na verdade, essas duas medidas são indicadores de quão preparada uma empresa está para os riscos de TI.

Risco cibernético: identificando ameaças

Um fator determinante no gerenciamento dos riscos de TI é a proatividade com que as vulnerabilidades de seus sistemas são buscadas, para reduzir a superfície de ataque e minimizar o impacto que uma ameaça pode ter na empresa. Na verdade, quanto maior a superfície de ataque, maiores serão as chances de um invasor violar nossos sistemas e, portanto, nos causar danos.

Como podemos reduzir a superfície de ataque ? O mais simples seria manter o software atualizado para que quaisquer patches de segurança, contendo, por exemplo, a resolução de bugs relacionados às chamadas ameaças de dia zero (ou seja, vulnerabilidades desconhecidas para as quais existe um ataque), possam ser instalados no sistemas e reduzir a probabilidade de um ataque ser bem-sucedido. Este é um dos pontos que faltam na maioria das empresas: muitas vezes preferem continuar a usar os chamados sistemas legados porque funcionam em vez de atualizá-los . Na verdade, em empresas de manufatura, muitos sistemas de controle de robôs ainda dependem do Windows XP, cujo suporte terminou há vários anos.

Gerenciar o risco cibernético também significa ser proativo.
Gerenciar o risco cibernético também significa ser proativo no caso de um ataque.

Alguns podem argumentar que o risco pode ser reduzido desconectando-se da Internet, onde circulam a maioria das ameaças, mas a verdade é que não é possível ter um sistema completamente isolado , por isso sempre é possível encontrar um ponto de acesso. Ao nos escondermos dos perigos, não somos realmente mais fortes, pelo contrário, nosso nível de segurança pode piorar. A Trend Micro ainda destaca a necessidade de simplificar a complexidade dos sistemas e ainda melhorar o alinhamento (de versões, software …) entre sistemas heterogêneos. O primeiro axioma da engenharia diz, de fato, que quanto mais complexo um sistema, maior a complexidade para verificar sua exatidão. Da mesma forma, um dos princípios-chave de segurança é chamado KISS: " Mantenha-o simples, estúpido " ou "Torne-o simples, quase elementar"!

Aumente nosso poder de fogo

O outro aspecto da pesquisa, como já apresentamos, é a capacidade de responder quando um ataque está em andamento ou ocorreu. Mesmo que o indicador pareça trivial, é bom refletir que as empresas são incapazes de se comportar como eles hacker que vemos nos filmes: não há uma pessoa atrás de uma tela que tenha toda a infraestrutura em mãos. Reagir a um ataque envolve o uso de procedimentos enxutos e rápidos , que permitem que você acompanhe o que está acontecendo, mas que também fornecem amplo espaço de manobra no caso de comprometimento dos sistemas.

Infelizmente, esses dois conceitos são difíceis de perceber porque as estruturas de negócios costumam ser complexas, articuladas e hierárquicas. Isso resulta em uma dificuldade de reação que anula a capacidade de resposta causada pela lentidão entre detectar o ataque e fazer alterações nos sistemas para aumentar a segurança.

Os principais riscos para as empresas

A pesquisa da Trend Micro destaca cinco áreas de foco nas quais concentrar esforços para reduzir o risco do negócio:

  • risco de ameaças digitais ou o conjunto de ataques aos quais somos vulneráveis ​​(em particular clickjacking, ransomware, phishing e engenharia social, ataques man-in-the-middle);
  • riscos relacionados aos dados , ou seja, a capacidade de antecipar ataques de dia zero e conter seus efeitos;
  • riscos derivados do capital humano e, portanto, relacionados às escolhas de tomada de decisão da administração que afetam a capacidade de gerenciamento e resposta da divisão de segurança (por exemplo, algumas empresas podem considerar a segurança mais uma despesa do que uma vantagem real);
  • risco de infraestrutura , ou seja, a capacidade de identificar ativos estratégicos para a empresa protegê-los adequadamente e a velocidade na evolução em direção a novas tecnologias para apoiar as operações diárias;
  • enfim, o risco operacional e isto é, como dissemos antes, nosso poder de fogo em caso de eventos adversos e a capacidade de reagir prontamente.
Os tipos de riscos cibernéticos. Créditos: TrendMicro
Os tipos de riscos cibernéticos. Créditos: TrendMicro

A Europa (e Itália) classifica-se em um fator de risco igual a – 0,13: um valor alto, mas ainda melhor do que a América, que obtém – 1,07. Melhor do que nós, apenas o continente asiático, capaz de totalizar – 0,03.

Vivendo com risco cibernético

Já dissemos que o risco não pode ser zero, mas podemos apenas minimizá-lo . É necessário adotar uma estratégia que nos permita viver juntos da melhor maneira possível, procurando estar suficientemente calmos. Como?

  1. Identifique as contra-medidas corretas que se revelem eficazes e que sejam suportáveis ​​para a empresa em termos econômicos e de aplicação. Ter uma boa estratégia de defesa é certamente um importante ponto de partida.
  2. Implemente tais contramedidas! Óbvio, certo? Porém, muitas vezes nos perdemos entre a teoria e a prática por diversos motivos, por isso é necessário que os planos sejam colocados em prática.
  3. Investigar! Verifique se o que orçamos dá os resultados desejados. Do contrário, seria como ter uma Ferrari sem gasolina: quando tivermos de partir, estaremos parados e sem possibilidade de intervenção.
Para reduzir o risco de TI, é necessário adotar estratégias específicas que o minimizem.
Para reduzir o risco de TI, é necessário adotar estratégias específicas que o minimizem.

O trabalho da Trend Micro é certamente uma investigação importante a partir da qual podemos começar a melhorar a gestão de riscos, o resto depende de nós!

Artigo por Nicola Fioranelli

O artigo Risco (TI) ou não risco: esse é o dilema que vem do Tech CuE .