Existe uma diferença entre uma abordagem de gestão de risco e uma abordagem padrão de cibersegurança. A primeira exige fundamentalmente que as organizações decidam explicitamente sobre quais os riscos a ignorar – exige, portanto, a definição de um foco concreto. Isso é um anátema para a maioria do pessoal de segurança - mas é exatamente isso que é necessário a um nível executivo. Como a “Grande Recessão” provou, é melhor gerir explicitamente o risco do que ignorá-lo e esperar pelo melhor.
Os gestores das áreas de segurança, conformidade e privacidade precisam de colaborar com os gestores do próprio negócio para definir de forma clara e rigorosa o “apetite” por ciber-risco da organização. Essa definição precisa de ser o mais precisa possível para que se transmitam às equipas técnicas todos os requisitos necessários, bem como planos definidos com informações sobre os objetivos e resultados que se esperam deles. Usando esses requisitos, o CISO e a sua equipa precisam de otimizar políticas, procedimentos e controles técnicos de cibersegurança para garantir que as operações nesta área forneçam defesa adequada, considerando o “apetite” e as tolerâncias de risco do próprio negócio.
Gerir riscos é essencialmente um exercício de priorização e monitorização contínuo. No rescaldo da Grande Depressão, a OCDE apresentou uma avaliação de risco e estrutura de gestão “GOVERNANÇA CORPORATIVA E A CRISE FINANCEIRA”: Conclusões e boas práticas emergentes para melhorar a implementação dos Princípios, 24 de fevereiro de 2010. Essas diretrizes podem ser facilmente traduzidas em ciber-risco - e são tão aplicáveis:
- A gestão eficaz do ciber-risco não significa eliminar riscos. Deve garantir que os riscos sejam compreendidos, geridos e, quando apropriado, comunicados.
- A gestão eficaz do ciber-risco requer uma abordagem em toda a empresa, em vez de tratar cada unidade de negócios individualmente.
- A gestão eficaz do ciber-risco requer revisão e orientação de negócios para manter o alinhamento explícito da estratégia corporativa com as políticas de cibersegurança (apetite e tolerância ao risco).
- A avaliação contínua da política de cibersegurança deve ser a base para as operações e métricas de ciber-risco.
- As operações de ciber-risco devem ser adequada e explicitamente cobertas por políticas que forneçam uma linha de visão direta do apetite de risco aos controlos e métricas.
Artigo traduzido e disponibilizado pela DigitalSkills Consulting - Distribuidora oficial de soluções de cibersegurança do fabricante Orchestra Group. Para mais informações: www.digitalskills.pt | [email protected] | 217 923 841.
Copyright ©2021 by Orchestra Group. All Rights Reserved.