CEO vs CSO, Parte 2: Risco de violação, investimento em segurança e pensar como um MBA

CEO vs CSO, Parte 2: Risco de violação, investimento em segurança e pensar como um MBA

O objetivo desta série é criar uma ponte entre as divisões dessas tribos diferentes. Neste post, darei conselhos sobre como os CSOs e CIOs podem convencer seus chefes a pagar pelas soluções de segurança de dados. E o primeiro passo é entender melhor como os CEOs fazem seu trabalho.

MBA instantâneo para CSOs
O problema cultural começa na escola de negócios. Há muitos CSOs e CIOs com MBAs, mas a maioria deles está ocupado aprendendo sobre as mais recentes técnicas de teste ou estudando para a próxima certificação de TI.

Fiz um breve tour em um típico programa de MBA e posso dizer, sem ousadia, que tudo o que você precisa saber sobre o pensamento das grandes empresas pode ser resumido em um exemplo simples.

Digamos que, como uma tarefa típica da escola, você tenha US$ 500 mil para investir. Se você colocar tudo isso em uma poupança, pode ganhar menos de 1% ao mês, sem risco. Ou se preferir apostar em alguma startup de tecnologia esse ganho pode ser muito mais alto.

Qual a melhor opção?
Os alunos de MBA aprendem sobre conceitos tão elevados e calculam sem esforço o retorno médio do investimento acima. Eles sabem que, no longo prazo, sairão na frente com os investimentos em startups e, no curto prazo, terão que lidar notícias negativas.

Assim, com os 50 investimentos em startups, você tem 72% de chance de obter duas ou mais vitórias e obter um lucro de pelo menos US$ 800 mil. Por outro lado, você pode perder todo o investimento de US$ 500 mil em 28% das vezes. Mas os pagamentos cobrirão as perdas e darão lucro.  – um pagamento esperado de US$ 1 milhão para um lucro de US$ 500 mil.

O que isso tem a ver com convencer executivos a investir em um software de proteção de dados?
Digamos que o CEO tenha uma planilha mostrando receitas e custos projetados nos próximos anos. Naturalmente, ele atribui vários pesos ou probabilidades a diferentes cenários e calculou um pagamento médio para cada um.

Ao justificar um investimento em um novo software de segurança de dados, um CEO quer saber como o software de segurança de dados irá dobrar ou moldar as projeções nas planilhas.

Para convencer os outros executivos ou o conselho de administração, o CSO terá que provar que uma violação pode ocorrer e vai causar uma perda significativa envolvendo custos legais, multas regulatórias, ações coletivas e rotatividade de clientes. E, em seguida, explicar como o software de segurança proposto deve se pagar protegendo contra essas violações, mantendo, assim, os planos de negócios nos trilhos.

Violações de dados e risco
A abordagem do FAIR te obriga a se aprofundar em duas áreas: a magnitude ou o custo de um incidente de violação de dados e a frequência com que esses ataques surgem. A partir disso, você pode chegar a uma estimativa razoável do custo médio de lidar com violações em um determinado período de tempo.

Vamos pegar a primeira parte, o custo de uma violação, que, na verdade, não é um número único. É uma distribuição de porcentagens – digamos, 10% dos incidentes de violação custam menos de US$ 10 mil, 15% são de US$ 30 mi ou menos, etc. Essa distribuição de perdas segue o nome fantasia de probabilidades de excedência ou perda excessiva. No mundo real, as companhias de seguro produzem esses gráficos de distribuição para elaborar políticas automáticas ou domésticas para seus grupos de risco.

Você consegue calcular uma probabilidade de excedência para sua própria situação?
Você pode ter que fazer alguma pesquisa e talvez construir um modelo básico. No entanto, para falhas no setor de saúde, temos um mar de informações graças ao HIPAA.

Pude aproveitar os dois últimos anos do relatório de violações da HIPAA e calcular as perdas com base na fórmula de regressão de custo de violação de Jay Jacob. A distribuição de perdas vem da classificação dos custos do menor para o maior e do cálculo das porcentagens.

Vale a pena refletir sobre o assunto e observar como os incidentes se concentram na base, enquanto a cauda tem menos incidentes, mas muito maiores: nas dezenas de milhões, com um peso de mais de US$ 100 milhões.

Como um teste de integridade do meu conjunto de dados, calculei o custo médio de um incidente de saúde em cerca de US$ 4,2 milhões. Isso está na casa dos números de custo de incidentes do Ponemon.

Este é exatamente o tipo de informação que um CEO de hospital gostaria de saber. Entretanto, para obter uma resposta mais prática, é preciso estimar as chances da organização ser violada.

Se quiser uma tarefa de casa, analise as apresentações de Evan Wheeler sobre gerenciamento de riscos cibernéticos.

Onde estão seus dados de maior risco? Em média há cinquenta mil pastas em um único terabyte de dados. Saber quais pastas trazem dados sensíveis e protege-las é a melhor estratégia para evitar vazamentos. Com o Varonis Data Classification Framework é possível descobrir rapidamente o conteúdo sensível, mostrar o que está exposto e bloquear acesso não autorizado sem interromper os negócios.