Na visão de Rangel Rodrigues, o CISO deve endereçar os potenciais riscos e impactos no relacionamento com os parceiros e provedores externos de serviços, que devem ser claros e documentados, principalmente no gerenciamento dos perigos
Por Rangel Rodrigues
Recentemente acompanhei um relatório da McKinsey no qual apontava que os Gerentes de Riscos estão voando às cegas, então parei para refletir a razão daquele levantamento e tentei trazer para minha realidade no âmbito corporativo. Sou um Cyber Risk Manager e diariamente tenho que encarar situações extremas para o tratamento de risco de aplicações, posso garantir que não é uma tarefa fácil. Em outras palavras, sou conhecido como a voz de risco e nos dias atuais tenho sido desafiado para analisar perigos de diferentes visões no mundo tecnológico.
Temos sido exigidos para avaliar qualquer tipo de situação complexa e cabe estar preparado e atualizado para analisar essas questões. Eu diria que essa posição tem exigido uma combinação de Advisor, Estrategista e Cientista, além de habilidades business acumen, boa comunicação, enfim ser articulado e incisivo é fundamental para ser a voz de risco dentro da organização.
Existem diversos frameworks que suportam a implementação do processo de gerenciamento de risco e particularmente desde 2005 tenho visto a grande maioria das empresas usarem o NIST. Agora, há uma certa combinação com FAIR para uma perspectiva de análise quantitativa vs qualitativa, dependendo do contexto em discussão. O propósito aqui não é falar sobre o melhor framework, mas de que forma o processo de gestão de risco é desenhado e conduzido, com suporte top-down. Isso irá determinar o sucesso do processo, caso contrário não adianta ter um risk appetite definido se não há conscientização na cultura da organização.
Uma cultura madura com uma gestão de governança e segurança efetiva viabiliza a construção de um modelo de gestão de risco eficaz que irá ajudar o conselho a compreender e endereçar os riscos de segurança versus tecnologia para o melhor nível aceitável para a organização deixando todas as partes felizes. Logo, o CISO deve endereçar os potenciais riscos e possíveis impactos nos relacionamentos com os parceiros e provedores externos de serviços que devem ser claros e devidamente documentados.
Diante disso, a combinação de governança de segurança com gestão de segurança proporciona um bom alinhamento estratégico, um processo de gestão de risco maduro, viabiliza a gestão de recursos, performance e entrega de valor para a organização. O interessante é que na história vimos o desenvolvimento deste tema alavancar ao longo dos anos, no qual já mencionei em alguns dos meus artigos publicados neste portal.
Neste ano, notamos a evolução da gestão de risco na (i) era dos provedores de Internet, na (ii) era dos Internet Banking, na (iii) era Basiléia e SSAE 16 (antiga SAS70) que agora em SSAE 18, na (iv) era PCI-DSS, (v) depois tivemos um momento instável e estável, então veio a (vi) era cloud chegou com toda força e atualmente vemos a (vii) era Privacy combinada com outras regulamentações como HIPPA, GDPR, LGPD, SOC 2, FedRamp, GLBA, etc. Por que estou mencionando estes pontos? Simplesmente para afirmar que a Gestão de Risco é uma matéria que ajuda na sobrevivência das organizações. É preciso que o risco seja tipificado na alma dos executivos, isto é, a consciência de que a sua sobrevivência no mercado pode ser comprometida, seja por fatores de riscos de reputação, financeiro e, principalmente, perigos relacionados a regulamentações, ransomware, phishing e ameaças internas e entre outros.
No entanto, para uma boa prática para gerir os riscos ao meu ver requer alguns pontos de atenção que descrevo abaixo:
• Assegure que o processo de gestão de risco esteja suportado a nível top-down; • Tenha uma política de gestão de risco implementada baseado em um framework como NIST RMF, OCTAVE, FAIR, Monte-Carlo;
• Ter um processo de governança de segurança integrado com a gestão de segurança (ISMS) e cibersegurança (NIST CSF) e outros frameworks de arquitetura irão viabilizar a construção de um modelo de gestão de risco;
• Evangelize a importância da gestão de risco no âmbito corporativo. O negócio precisa entender que o risco de cibersegurança não é um problema de segurança, mas um risco de negócio. É preciso mudar a forma que enxergamos esse processo, pois normalmente o CISO é conhecido como o cara que evita brechas de segurança, é mais que isso, é um líder que facilita a gestão de risco;
• A gestão de risco não é um blocker para o negócio, a segurança e gestão de risco permite agilidade e segurança para os produtos e consequentemente gera diferencial competitivo;
• Antes de criar um risco (finding) alinhe com o owner o risco o remediation plan e um prazo para o issue ser resolvido, exceto para a opção de “aceitar”;
• Defina e tenha uma política com um critério para classificação risco baseado na criticidade da aplicação e dados. Tenha um critério de engagement risk (alto, médio, baixo) e para cada nível tenha pelo menos dois aprovadores, por exemplo, para um risco alto, requer a aprovação de dois VPs, risco médio (Diretor) e risco baixo (Gerente), pois desta forma você como a voz de risco irá conscientizar os líderes para pensar antes de abrir um risco, se abrir o owner estará ciente que deve cumprir o due date ou terá um desafio para defender o risco no comitê de SRC onde poderá ser questionado se não tiver uma plano eficaz;
• Pense fora da caixa como gerente de risco e procure combinar as características do estrategista, cientista e o advisor. Sugiro explorar a leitura do artigo que escrevi sobre o tema;
• Tenha uma boa solução de GRC para ajudar no processo de gestão de risco, para documentar, risk register, TPRM, supplier risk e entre outros;
• Mantenha a chama acessa na supervisão de risco no conselho; dependendo do tamanho da organização pode exigir reuniões periódicas semanais para acompanhamento dos riscos abertos ou solicitação de postergação devido algum impedimento para resolução do issue;
• Atraia, desenvolva, treine e retenha colaboradores capazes de liderar o processo de risco;
• Defina o risk appetite, risk tolerance, risk heat map, identifique o risco, severidade, priorize, implemente resposta a riscos e crie um portfólio de risco, e lembre-se da equação: Risk Exposure = Impact x Likelihood;;
• Aproveite das informações do BIA, pois é fundamental para completar a avaliação do cyber risk, considerações chaves, aplicações críticas, dependências;
• Tenha um processo transparente que permita a comunicação do risco que facilite o reporte e o engajamento de uma cultura de risco, performance e ajude alavancar a decisões de negócio.
Uma cultura de risco clara e transparente será valiosa no momento em que os gerentes de riscos convençam os líderes e o board sobre a importância dessa gestão com a suporte lateral CISO. Não queria reinventar a roda, mas também é essencial um sistema de GRC com uma interface amigável capaz de integrar de dados. Ao mesmo tempo, gerir risco não é um processo comum, é um processo de sobrevivência que dará um oversight sobre a real situação da organização sob o diferencial competitivo da organização no mercado de atuação.
Há um provérbio do sábio que diz que “A sabedoria torna o sábio mais poderoso que uma cidade guardada por dez valentes, não basta um exército de soldados se não houver qualidade e competência”. Pois bem, o processo de Gestão de Risco requer diligência com fundamento que devemos governar os riscos que estão sobre a nossa responsabilidade. Diante disso, como você gerencia seu risco?
Este artigo foi publicado no portal Security Report.
*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP, CCSK, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Senior Security Engineer para uma empresa financeira nos Estados Unidos.
Por Rangel Rodrigues
Recentemente acompanhei um relatório da McKinsey no qual apontava que os Gerentes de Riscos estão voando às cegas, então parei para refletir a razão daquele levantamento e tentei trazer para minha realidade no âmbito corporativo. Sou um Cyber Risk Manager e diariamente tenho que encarar situações extremas para o tratamento de risco de aplicações, posso garantir que não é uma tarefa fácil. Em outras palavras, sou conhecido como a voz de risco e nos dias atuais tenho sido desafiado para analisar perigos de diferentes visões no mundo tecnológico.
Temos sido exigidos para avaliar qualquer tipo de situação complexa e cabe estar preparado e atualizado para analisar essas questões. Eu diria que essa posição tem exigido uma combinação de Advisor, Estrategista e Cientista, além de habilidades business acumen, boa comunicação, enfim ser articulado e incisivo é fundamental para ser a voz de risco dentro da organização.
Existem diversos frameworks que suportam a implementação do processo de gerenciamento de risco e particularmente desde 2005 tenho visto a grande maioria das empresas usarem o NIST. Agora, há uma certa combinação com FAIR para uma perspectiva de análise quantitativa vs qualitativa, dependendo do contexto em discussão. O propósito aqui não é falar sobre o melhor framework, mas de que forma o processo de gestão de risco é desenhado e conduzido, com suporte top-down. Isso irá determinar o sucesso do processo, caso contrário não adianta ter um risk appetite definido se não há conscientização na cultura da organização.
Uma cultura madura com uma gestão de governança e segurança efetiva viabiliza a construção de um modelo de gestão de risco eficaz que irá ajudar o conselho a compreender e endereçar os riscos de segurança versus tecnologia para o melhor nível aceitável para a organização deixando todas as partes felizes. Logo, o CISO deve endereçar os potenciais riscos e possíveis impactos nos relacionamentos com os parceiros e provedores externos de serviços que devem ser claros e devidamente documentados.
Diante disso, a combinação de governança de segurança com gestão de segurança proporciona um bom alinhamento estratégico, um processo de gestão de risco maduro, viabiliza a gestão de recursos, performance e entrega de valor para a organização. O interessante é que na história vimos o desenvolvimento deste tema alavancar ao longo dos anos, no qual já mencionei em alguns dos meus artigos publicados neste portal.
Neste ano, notamos a evolução da gestão de risco na (i) era dos provedores de Internet, na (ii) era dos Internet Banking, na (iii) era Basiléia e SSAE 16 (antiga SAS70) que agora em SSAE 18, na (iv) era PCI-DSS, (v) depois tivemos um momento instável e estável, então veio a (vi) era cloud chegou com toda força e atualmente vemos a (vii) era Privacy combinada com outras regulamentações como HIPPA, GDPR, LGPD, SOC 2, FedRamp, GLBA, etc. Por que estou mencionando estes pontos? Simplesmente para afirmar que a Gestão de Risco é uma matéria que ajuda na sobrevivência das organizações. É preciso que o risco seja tipificado na alma dos executivos, isto é, a consciência de que a sua sobrevivência no mercado pode ser comprometida, seja por fatores de riscos de reputação, financeiro e, principalmente, perigos relacionados a regulamentações, ransomware, phishing e ameaças internas e entre outros.
No entanto, para uma boa prática para gerir os riscos ao meu ver requer alguns pontos de atenção que descrevo abaixo:
• Assegure que o processo de gestão de risco esteja suportado a nível top-down; • Tenha uma política de gestão de risco implementada baseado em um framework como NIST RMF, OCTAVE, FAIR, Monte-Carlo;
• Ter um processo de governança de segurança integrado com a gestão de segurança (ISMS) e cibersegurança (NIST CSF) e outros frameworks de arquitetura irão viabilizar a construção de um modelo de gestão de risco;
• Evangelize a importância da gestão de risco no âmbito corporativo. O negócio precisa entender que o risco de cibersegurança não é um problema de segurança, mas um risco de negócio. É preciso mudar a forma que enxergamos esse processo, pois normalmente o CISO é conhecido como o cara que evita brechas de segurança, é mais que isso, é um líder que facilita a gestão de risco;
• A gestão de risco não é um blocker para o negócio, a segurança e gestão de risco permite agilidade e segurança para os produtos e consequentemente gera diferencial competitivo;
• Antes de criar um risco (finding) alinhe com o owner o risco o remediation plan e um prazo para o issue ser resolvido, exceto para a opção de “aceitar”;
• Defina e tenha uma política com um critério para classificação risco baseado na criticidade da aplicação e dados. Tenha um critério de engagement risk (alto, médio, baixo) e para cada nível tenha pelo menos dois aprovadores, por exemplo, para um risco alto, requer a aprovação de dois VPs, risco médio (Diretor) e risco baixo (Gerente), pois desta forma você como a voz de risco irá conscientizar os líderes para pensar antes de abrir um risco, se abrir o owner estará ciente que deve cumprir o due date ou terá um desafio para defender o risco no comitê de SRC onde poderá ser questionado se não tiver uma plano eficaz;
• Pense fora da caixa como gerente de risco e procure combinar as características do estrategista, cientista e o advisor. Sugiro explorar a leitura do artigo que escrevi sobre o tema;
• Tenha uma boa solução de GRC para ajudar no processo de gestão de risco, para documentar, risk register, TPRM, supplier risk e entre outros;
• Mantenha a chama acessa na supervisão de risco no conselho; dependendo do tamanho da organização pode exigir reuniões periódicas semanais para acompanhamento dos riscos abertos ou solicitação de postergação devido algum impedimento para resolução do issue;
• Atraia, desenvolva, treine e retenha colaboradores capazes de liderar o processo de risco;
• Defina o risk appetite, risk tolerance, risk heat map, identifique o risco, severidade, priorize, implemente resposta a riscos e crie um portfólio de risco, e lembre-se da equação: Risk Exposure = Impact x Likelihood;;
• Aproveite das informações do BIA, pois é fundamental para completar a avaliação do cyber risk, considerações chaves, aplicações críticas, dependências;
• Tenha um processo transparente que permita a comunicação do risco que facilite o reporte e o engajamento de uma cultura de risco, performance e ajude alavancar a decisões de negócio.
Uma cultura de risco clara e transparente será valiosa no momento em que os gerentes de riscos convençam os líderes e o board sobre a importância dessa gestão com a suporte lateral CISO. Não queria reinventar a roda, mas também é essencial um sistema de GRC com uma interface amigável capaz de integrar de dados. Ao mesmo tempo, gerir risco não é um processo comum, é um processo de sobrevivência que dará um oversight sobre a real situação da organização sob o diferencial competitivo da organização no mercado de atuação.
Há um provérbio do sábio que diz que “A sabedoria torna o sábio mais poderoso que uma cidade guardada por dez valentes, não basta um exército de soldados se não houver qualidade e competência”. Pois bem, o processo de Gestão de Risco requer diligência com fundamento que devemos governar os riscos que estão sobre a nossa responsabilidade. Diante disso, como você gerencia seu risco?
Este artigo foi publicado no portal Security Report.
*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP, CCSK, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Senior Security Engineer para uma empresa financeira nos Estados Unidos.
Comentários
Postar um comentário