Exposição ao risco: saiba como esse conhecimento pode otimizar a estratégia de segurança

Qual é o seu gap relacionado aos riscos de segurança cibernética?  Compreender como um programa de segurança pode ajudar a identificar possíveis inconsistências de segurança e como elas podem trazer riscos aos negócios pode ser complexo, mas é essencial para tornar a estratégia de segurança eficaz. 

Para entender a real exposição a riscos, o primeiro passo é realizar uma avaliação geral de riscos e, com os resultados em mãos, analisar o que precisa ser feito para minimizá-los. Isso é essencial para qualquer programa de segurança e também para entender qual será o impacto para os negócios.  

Esse processo é chamado de análise de lacunas (gap analysis) e avalia o desempenho da empresa diante do seu potencial, visando identificar problemas que podem prejudicar a tomada de decisões estratégicas e os negócios.  

CIOS e CISOs devem enxergar a análise de lacunas como uma ferramenta estratégica para criar uma linha de base de riscos em programas de segurança ou, até mesmo, na estratégia de gerenciamento de riscos da empresa; e também para pontuar como uma estratégia de segurança pode agregar valor para os negócios da empresa. E não é necessário lembrar que proteger dados deve ser uma prioridade.  

Esse processo engloba diversas etapas e, claro, será diferente para cada empresa devido às características de negócios e conformidade. Mas algumas dessas etapas são comuns. 

A análise de lacunas pode ser realizada a qualquer momento, e pode ser completa ou avaliar um determinado ponto da política de segurança. Isso envolve a participação das lideranças da empresa, que precisam apoiar as possíveis mudanças que podem ser implementadas. 

Como o objetivo da análise é identificar os riscos, esse processo não pode atrapalhar o trabalho das áreas envolvidas na avaliação, ou seja, ser um fator de risco. Então, deve-se criar um cronograma de eventos que não impactem negativamente nos negócios. O que leva à importância de criar um plano de avaliação, que deve ser entregue aos stakeholders para garantir que todos entendam o cronograma e saibam como relatar possíveis problemas. Todos devem entender a importância da iniciativa e qual seu papel no processo. 

É necessário coletar informações sobre as áreas que serão analisadas: relatórios e documentação sobre a política de segurança e o nível de maturidade da empresa. Também é necessário entrevistar as equipes envolvidas para detectar o que cada funcionário entende sobre a política de segurança utilizada. 

A próxima etapa consiste em conversar com a equipe de segurança para tirar possíveis dúvidas sobre o que foi levantado até o momento. É aqui que os analistas falam sobre os problemas detectados e qualquer outra informação que ajude a esclarecer os riscos encontrados. Depois disso, com um grande número de informações coletadas, é preciso revisá-las para ter certeza de que não fogem do escopo ou tragam inconsistências. Os dados precisam ser precisos e devem estar alinhados aos objetivos de negócio. 

Com os dados corretos em mãos é chegada a hora de pontuar as lacunas existentes nos controles de segurança, observando se há controles ausentes, imaturos ou mal configurados. Esse também é um bom momento para descrever o impacto causado nos negócios se um controle problemático for usado por hackers. Essas informações, agora, precisam ser documentadas e é muito importante que o CISO esteja disponível para sanar qualquer dúvida que possa surgir e garantir que o relatório seja preciso. 

O relatório então precisa ser dividido em algumas seções. A primeira, mais concisa e objetiva, é voltada para os executivos de alto nível e traz informações sobre os objetivos da avaliação, metodologia e a análise de lacunas. A segunda seção conta com a explicação mais detalhada sobre os processos usados para medir os riscos, descobertas e referências que validam os controles de segurança e sua maturidade. O final do relatório é voltado para elencar as recomendações para minimizar os riscos. 

Por fim, na apresentação do relatório o CISO deve estar presente para falar sobre o que foi analisado e tirar dúvidas. 

Apesar de complexo, todo o processo de análise de lacunas é essencial para a criação de um programa de segurança de dados. Com esse conhecimento, as empresas podem realizar as mudanças necessárias para gerenciar os riscos de negócios e se tornar sua estratégia de segurança mais eficiente.