Conversamos com muitas empresas sobre gestão do ciber-risco versus cibersegurança. Recebemos com frequência duas respostas possíveis - a primeira, um olhar vazio, a segunda, uma concordância sincera, mas com a ressalva de que as equipas estão apenas a começar a sua jornada pela verdadeira gestão do ciber-risco.
Portanto, embora haja pequenos progressos na gestão do ciber-risco, é bem provável que estejamos a caminhar para uma crise cibernética semelhante à crise financeira de 2008. Fomos então verificar se as principais lições aprendidas sobre gestão de risco após a crise financeira de 2008 são aplicáveis também ao ciber-risco. Isto leva-nos a um relatório da OCDE de 2010 sobre governança corporativa e gestão de risco intitulado “Corporate Governance And The Financial Crisis - Conclusions and emerging good practices to enhance implementation of the Principles”.
Acontece que a gestão de risco financeiro em 2010 estava quase no mesmo estado que a gestão do ciber-risco em 2021.
Posto isto, conseguimos elaborar um resumo imaginário de um futuro relatório da OCDE de 2023 sobre a gestão do ciber-risco, nomeadamente com a ajuda de ciber-ataques levados a cabo com sucesso e que causaram pânico generalizado - talvez algo como uma versão bem-sucedida do ataque que teve como alvo o abastecimento de água em Oldsmar Flórida, no início de fevereiro deste ano. Neste ataque, um adversário desconhecido invadiu a fábrica remotamente e tentou elevar os níveis de soda cáustica para um fator de mais de 100, um ato que pode causar danos físicos ao público. Felizmente, ele foi descoberto pela equipa da fábrica - eles notaram o movimento do rato no ecrã do computador - e agiram antes que o dano fosse causado.
No rasto de um futuro ataque imaginário, a OCDE relatará as suas principais descobertas sobre a gestão eficaz do ciber-risco. Ainda sobre o relatório da OCDE de 2010, podemos imaginar o que nos espera o futuro próximo:
- A gestão eficaz dos ciber-riscos não significa eliminar riscos. Deve garantir que os riscos sejam compreendidos, geridos e, quando apropriado, comunicados.
- A gestão eficaz dos ciber-riscos requer uma abordagem em toda a empresa, em vez de tratar cada unidade de negócios individualmente.
- A gestão eficaz dos ciber-riscos requer revisão e orientação dos negócios para manter o alinhamento explícito da estratégia corporativa com as políticas de cibersegurança (apetite e tolerância ao risco / risk-appetite and tolerance).
- A avaliação contínua da política de cibersegurança deve ser a base para as operações e métricas de risco cibernético.
- As operações de ciber-risco devem ser adequadas e explicitamente cobertas por políticas que forneçam uma linha de visão direta do “apetite de risco” aos controlos e métricas.
Todas estas são abordagens sensatas que podem ser adotadas hoje. Por que precisamos de esperar por uma crise?
Artigo traduzido e disponibilizado pela DigitalSkills Consulting - Distribuidora oficial de soluções de cibersegurança do fabricante Orchestra Group. Para mais informações: www.digitalskills.pt | [email protected] | 217 923 841.
Copyright ©2021 by Orchestra Group. All Rights Reserved.