Como medir o risco cibernético: os fundamentos da quantificação do risco cibernético

As organizações de hoje dependem de métricas mais do que nunca. No entanto, quando se trata de métricas, poucas são tão importantes quanto o risco cibernético. Ter a capacidade de medir os riscos cibernéticos é elementary para fazer investimentos em segurança informados e implementar os controles necessários para minimizar o risco de violação de dados.

A falha em entender o nível de risco no ambiente leva a vulnerabilidades perigosas que podem causar milhões em danos.

Apesar disso, a maioria das organizações ainda não compreende sua exposição ao risco. Pesquisar mostra que apenas 50% dos líderes de TI e 38% dos tomadores de decisões de negócios acreditam que o C-suite entende completamente os riscos cibernéticos.

Isso também não é por falta de tentativa, com o Gartner relatando que os líderes de segurança e gerenciamento de risco estão investindo cada vez mais em quantificação de risco cibernético para suporte a decisões corporativas, embora apenas 36% relatem resultados concretos.

Até certo ponto, o desafio de quantificar o risco cibernético é subjetivo, com as organizações identificando um nível diferente de risco dependendo de como definem o risco cibernético, bem como das metodologias e sinais de dados que usam para medi-lo.

Mas o que é exatamente o risco cibernético?

Em termos simples, o risco cibernético é o nível de risco apresentado a uma organização no caso de um ataque cibernético.

Sob a Análise Justa de Risco de Informação (FEIRA) modelo de risco quantitativo, o gerenciamento de risco é definido como “a combinação de pessoal, políticas, processos e tecnologias que permitem que uma organização alcance e mantenha de maneira econômica um nível aceitável de exposição a perdas”.

As organizações precisam ter a capacidade de medir esse risco não apenas para garantir a segurança geral de seus ambientes, mas também para garantir que não estejam gastando demais em controles ineficazes.

James Turgal, vice-presidente de risco cibernético, estratégia e relações com a diretoria do provedor MXDR Optivdestaca que “a quantificação do risco cibernético deve ser uma parte essencial de todas as ações das empresas para entender e medir o risco apresentado a essa empresa no caso de ocorrer um ataque cibernético”.

Turgal observa que as empresas podem usar avaliações cibernéticas definidas por entidades como o NIST para definir os ativos de tecnologia mais importantes, verificar o impacto que uma violação de dados teria nos negócios, entender a probabilidade de exploração e garantir um nível aceitável de risco cibernético.

Estruturas para medir o risco cibernético

Quando se trata de medir o risco cibernético, existem muitas estruturas e metodologias que as empresas podem escolher, incluindo a Análise Justa do Risco da Informação (FEIRA), NIST Cybersecurity Framework (LCR) e a Estrutura de Gerenciamento de Risco (RMF).

Das estruturas disponíveis, muitos consideram o FAIR como o mais abrangente por fornecer um conjunto de padrões e práticas recomendadas para ajudar a medir e mitigar o risco de informações em um ambiente corporativo.

Ao contrário de outras estruturas, como as oferecidas pelo NIST , ISO, OCTAVE e ISACA, o FAIR fornece às organizações mais orientação sobre o processo de mitigação de riscos, em vez de deixá-los determinar suas próprias abordagens e preencher as lacunas de segurança.

Outras estruturas, como o CSF, fornecem um escopo mais limitado para identificar a tolerância ao risco de uma empresa, ajudando os líderes de segurança a definir funções, responsabilidades e processos para minimizar os riscos em todo o ambiente.

Por exemplo, isso inclui como implementar controles para gerenciar identidades e credenciais, acesso remoto, proteger dados em tranzit, reduzir a probabilidade de vazamentos de dados e detectar códigos maliciosos.

Da mesma forma, o RMF fornece uma estrutura simples de sete etapas para proteger sistemas e tecnologias de TI modernos e legados.

As etapas principais do RMF incluem preparar atividades essenciais para equipar a organização para gerenciar riscos de segurança e privacidade, categorizar sistemas e informações armazenadas, processadas ou transmitidas (com base na análise de impacto), implementar controles NIST SP 800-53 e documentar controles de longo prazo .

E as organizações que estão lutando para quantificar o risco cibernético?

Com tantas estruturas de gerenciamento de risco para escolher, muitas organizações estão procurando calculadoras de risco para ajudar a identificar sua exposição a agentes de ameaças.

Recentemente, o provedor de quantificação de risco Segurança seguralançou uma calculadora de risco gratuita chamada Protected CRQ Calendar, que u.s. seu próprio modelo de pesquisa preditiva para analisar o setor de uma organização e determinar a probabilidade de uma violação nos próximos 12 meses.

O Protected CRQ Calculator da Protected Safety agiliza o processo de quantificação de risco, destacando rapidamente que a exposição a ataques cibernéticos do setor da organização é, a taxa de ataques de ransomware que ocorrem no setor e o potencial impacto financeiro de uma violação.

Como explica o vice-presidente sênior de IA e seguro cibernético da Protected Safety, Pankaj Goyal, o Protected CRQ Calendar fornece uma solução que as empresas podem usar para converter sinais cibernéticos externos e internos em um modelo matemático, que pode traduzir um cálculo de risco técnico em um valor financeiro do risco do negócio.

Para Goyal, o sucesso “está na profundidade e qualidade dos sinais. Os sinais devem ser em pace actual e abrangentes em toda a superfície de ataque. Coletamos sinais na superfície de ataque (pessoas, processos, tecnologia) por meio de APIs de maneira automatizada”, disse Goyal.

Em muitas organizações, os cálculos oferecidos por uma calculadora de risco pré-criada também podem ser mais precisos, principalmente se forem baseados em uma ampla gama de sinais de dados.

Por exemplo, a calculadora CRQ combina dados publicamente disponíveis de fontes, incluindo arquivos da SEC, relatórios regulatórios, relatórios de seguros e relatórios de orçamento sobre mais de 1.500 incidentes nos últimos 10 anos, para desenvolver seu modelo de risco. Isso fornece uma gama mais ampla de sinais de dados do que as organizações que usam um modelo de risco menos otimizado.

A mudança do papel do CISO na gestão do risco cibernético

Para os CISOs, um componente crescente do gerenciamento de riscos na empresa é a crescente responsabilidade de garantir o sucesso dos negócios da organização como um todo.

Na verdade, Gartner prevê que pelo menos 50% dos executivos de nível C terão requisitos de desempenho relacionados ao risco de segurança cibernética incorporados em seus contratos de trabalho até 2026. Naturalmente, essa mudança exigirá que os CISOs repensem como gerenciam o risco cibernético.

Como diretor de pesquisa do Gartner, Sam Olyaei explica: “O papel do CISO deve evoluir de uma pessoa responsável “de fato” pelo tratamento de riscos cibernéticos, para ser responsável por garantir que os líderes de negócios tenham as capacidades e o conhecimento necessários para tomar decisões informadas e de alta qualidade. decisões de risco da informação”.

Nesse sentido, o papel do CISO na gestão do risco cibernético não terá um foco “estreito” na verificação de riscos cibernéticos, mas desempenhará um papel ativo em equipar os principais interessados ​​e tomadores de decisão com as informações necessárias para equilibrar o gerenciamento de riscos de segurança cibernética juntamente com o cumprimento dos principais objetivos de negócios.