É crescente a importância do tema segurança cibernética, cada vez mais um assunto relevante na pauta dos executivos e agenda máxima de governo e organizações. Ciente desta demanda, o IBGC - Instituto Brasileiro de Governança Corporativa lançou um curso específico de "Cybersecurity para Conselheiros".
Segundo programa do curso, busca "despertar e conscientizar gestores sobre o tema, desenvolvendo habilidades de análise das vulnerabilidades e participação das ações de segurança, que depende de todos, além dos responsáveis técnicos de Cyber Security."
Dentre os objetivos do curso: Conhecer as ferramentas indicadas para proteção quanto à Cyber Security; Conhecer os modelos de gestão e frameworks reconhecidos e mais adotados pelo mercado; Analisar as tendências regulatórias e integração de cyber risk ao modelo de riscos corporativos.
Segurança cibernética é mais que um projeto, é um processo, uma jornada!
Como primeiro passo para uma estratégia de segurança cibernética, é necessário obter um diagnóstico preciso da situação atual da organização. Conhecer os principais riscos dos sistemas e ativos digitais, com uma visão executiva do possível impacto para o negócio da organização. Em artigos anteriores, abordamos a prática CRQ - Cyber Risk Quantification, que vem sendo adotada com o uso de métodos e ferramentas que calculam estes riscos utilizando valores monetários. O Open FAIR™, padrão publicado pelo Opengroup para análise quantitativa de riscos é uma excelente indicação.
Para se obter também uma visão geral do nível de segurança da organização, convém utilizar modelos de maturidade que avaliem, segundo os principais frameworks reconhecidos pelo mercado, o nível de capacidade dos processos ou o grau de atendimento às melhores práticas recomendadas.
Estes modelos de maturidade fornecem uma linguagem comum e visão compartilhada pelo mercado, podendo ser usados também para avaliar e comparar diferentes organizações. A partir de critérios para se estabelecer estes níveis de maturidade é possível criar métricas e indicadores que demonstram em várias dimensões como ponto de partida a situação atual, mas também definir eventuais estágios desejados que se deseja alcançar.
Um dos modelos mais conhecidos é o CMM™ - Capability Maturity Model, criado na década de 1980 pelo Departamento de Defesa dos Estados Unidos, originalmente para avaliar riscos na contratação de empresas de software mas que tem sido adaptado e usado para mensurar a maturidade de processos como gestão de pessoas, gerenciamento de projetos, gestão de riscos, segurança cibernética e outros processos organizacionais.
O uso de modelos de maturidade permite ainda priorizar e justificar os investimentos para melhoria do estágio atual, definindo objetivos e metas, orientando e priorizando as práticas que precisam ser feitas para se progredir para os próximos estágios e medindo o resultado das ações realizadas.
Para segurança cibernética, existem diversos modelos de maturidade baseados em diferentes padrões e normas, onde destacamos o CIS-RAM™ (The Center for Internet Security Risk Assessment Method), publicado pelo @cisecurity em conjunto com os Controles Críticos de Segurança. O CIS RAM apoia as organizações a implementar e avaliar sua postura de segurança frente às práticas recomendadas de segurança cibernética do CIS Critical Security Controls (lembrando que existe disponível a versão 8 do documento traduzido em português).
Em um próximo artigo detalharemos o método CIS RAM e como utilizá-lo como referência para avaliar a maturidade e definir uma estratégia de segurança cibernéticas baseada nas melhores práticas dos Controles do CIS.
Boa semana e até a próxima!
Alberto.
