Como definir e quantificar os riscos cibernéticos?

02/12/2019

Numa evolução crescente da dimensão cibernética como parte intrínseca das estratégias de transformação digital das empresas na busca do TechQuilibrium torna-se necessário definir com clareza, eliminando qualquer subjetividade, o que exatamente vem a ser o “risco cibernético”.

Recentemente, o Banco Central alertou que as citações das instituições financeiras relacionadas a estes riscos se elevaram substancialmente. O BACEN ainda destacou que “o aumento dos modelos de negócios e o consequente aumento da exposição aos riscos cibernéticos e de descontinuidade dos negócios são fatores que trazem grandes desafios, que precisarão ser enfrentados por meio da coordenação das diferentes instituições que compõem o SFN (Sistema Financeiro Nacional)”.

Cabe aqui aprofundar a definição da terminologia “risco cibernético”. Afinal, ela é imprescindível para qualquer futura associação de valor agregado das soluções tecnológicas disponíveis e destes indicadores. Quando analisamos a decisão sobre um determinado investimento, os agentes financeiros desenvolvem os cálculos de riscos baseados na quantificação do grau de incerteza que podem vir a afetar o retorno projetado num determinado período.

Quando as agências de classificação de riscos, como Moody’s, Standard & Poor’s e Fitch Ratings, analisam o risco-país, elas compilam as diversas variáveis macroeconômicas, políticas e mercadológicas que podem vir afetar o ambiente de negócios num determinado período futuro. Ao mesmo tempo, definem categorias de riscos de acordo as possibilidades, positivas ou negativas, que venham a afetar o valor dos ativos de indivíduos ou empresas bem como o lucro e rentabilidade dos investimentos já efetuados por agentes internacionais.

Trazendo para a nossa dimensão em cibersegurança, o que seriam tais riscos? Uma vulnerabilidade na rede e/ou numa aplicação seria um risco, ameaça ou questão técnica? Um ataque de DDoS? Um indivíduo ou grupo atacante que penetrou numa empresa ou agência do governo? Movimentos laterais dos atacantes aos sistemas internos? Uma organização criminosa e/ou terrorista? Um empregado com acesso irrestrito as principais aplicações? Fornecedores com acesso a rede para intercâmbio de dados e transações? Software maliciosos como malwares ou APTs? Dispositivos móveis? Ambientes de cloud híbridos? Ativistas?

Para responder essas perguntas, que creio muitos dirão à primeira vista, sim são riscos de segurança, precisamos decompor o tema de riscos revendo conceitos pré-estabelecidos ou simplesmente incorporados por mensagens subliminares de marketing. Para ser considerado como “risco cibernético” um evento terá necessariamente de ser analisado por duas dimensões:

A: Qual a magnitude de perdas ou impacto do evento?

B: Qual a frequência de perdas num determinado período? A dimensão “A” será ainda decomposta por mais duas camadas:

– Perdas primárias e riscos secundários.

No artigo sobre o ataque ao Banco Capital One descrevi esses impactos e seus valores previstos (U$ 600 milhões) como perdas primárias. Poderíamos considerar os dados extraídos dos sistemas e os valores destes ativos durante o período de quatro meses em que a hacker Page Thompson esteve ativa nos sistemas do Banco sem ser percebida. Os 106 milhões de clientes do banco afetados e as respectivas indenizações diretas e medidas de recuperação deles por isenção de tarifas e outros benefícios compensatórios associados. Aqui também estão os custos imediatos de reparação e/ou substituição dos sistemas e da rede afetados.

Nos riscos secundários associados às perdas primárias, temos de analisar e reconciliar mais dois níveis envolvendo “a frequência dos eventos secundários de perdas” e “a magnitude das perdas secundárias”. Serão compiladas todas as consequências jurídicas em curso (provisionadas para pagamentos as vítimas), custos de notificações, multas e demais penalidades para as agências reguladoras, perda de valor das ações no mercado bem como os desdobramentos subsequentes como evasão de clientes e novos custos de recuperação de credibilidade e da marca do Banco junto ao mercado além das longas disputas com as seguradoras envolvidas.

Na dimensão “B” temos de verificar em que período estes eventos podem ocorrer, que seriam: Qual a frequência das ameaças destes eventos e as vulnerabilidades que possibilitaram sua execução. Necessário analisar também a probabilidade de ocorrências das ameaças críticas mais prováveis contra os ativos mais valiosos e o grau de dificuldade que os atores externos terão de superar para terem êxito em seus objetivos.

Várias das perguntas acima não podem ser consideradas como risco cibernético. Organização criminosa e/ou terrorista poderia ser classificada, a princípio, com uma ameaça, não ainda um risco. Ela se tornará um risco quando efetuar suas ações de ataques tendo êxito sobre eles. Um hacker atacando a rede de uma empresa através de uma técnica como software malicioso ou DDoS é uma ameaça, não um risco.

Será considerado como risco quando efetivamente causar danos ou perdas ou por deixar a rede inoperante (consequência e danos materiais) por um determinado período ou por danificar (extrair, deletar e/ou modificar) informações dos sistemas. A definição de riscos cibernéticos, portanto, está diretamente associada a “eventos que venham a causar perdas futuras num determinado período de tempo”.

A disciplina de gestão de riscos cibernéticos tem a missão de informar aos gestores (CISO’s, CIO’s; CEO’s e ao Conselho) de forma clara, sustentada por análises quantitativas, as probabilidades e os valores de perdas futuras virem a ocorrer para que estes tomem as melhores decisões possíveis alocações de investimentos em tecnologias de segurança e dos controles que venham a mitigar/remediar, transferir ou aceitar certos níveis de riscos e suas perdas em valores econômicos.

Pelo dicionário de Oxford o termo quantitativo está descrito como “a expressão ou medida da quantidade de alguma coisa”. Podemos ampliar a importância de uma medição como “uma forma de redução das incertezas associadas”.

Devemos ter a capacidade de apresentar aos gestores valores econômicos de forma quantitativa (e não qualitativa) das perdas futuras previstas num determinado cenário e suas respectivas probabilidades de ocorrências num determinado período, eliminando ao máximo possível as incertezas. A amplitude das análises deverá apresentar, ao menos, as perdas mínimas e máximas esperadas bem a média mais provável, para cada cenário.

Trata-se de um momento de quebra de paradigmas, no qual os CEOs mais conectados ao ambiente de transformação digital, bem como os CISOs que tenham esta percepção, terão adquirido diferencial competitivo na desafiadora missão de gerenciamento dos riscos cibernéticos.

*Leonardo Scudere é diretor executivo e fundador da Cyberbric Solutions. Possui ampla experiência em segurança cibernética e gestão de riscos, tendo atuado como executivo líder em grandes empresas como Oracle, IBM Latin América (ISS-IBM) e Computer Associates (CA)

Fonte: CIO

Voltar