Notícias apontam o Brasil como o país que mais sofre com ataques de ransomware na América Latina, uma ameaça crescente e alarmante para as empresas, com novas vítimas a cada dia. São bilhões de prejuízos em horas paradas, sistemas fora do ar, multas regulatórias e pagamento de resgates, muitos deles sem a garantia que os "dados sequestrados" serão restabelecidos. Como as empresas podem medir este risco e quais controles são mais eficazes contra esta ameaça?
Como as empresas podem medir o risco de ransomware?
E quais controles são mais eficazes contra esta ameaça?
Pesquisas indicam que o custo global de perdas associadas a ataques ransomware passaram de US$ 20 bilhões, sendo que a recuperação dos incidentes levam em média um mês. Executivos das empresas reconhecem que o risco cibernético é hoje um dos principais desafios para as organizações, colocando em perigo sua lucratividade e até mesmo a continuidade de seus negócios. Por conta deste aumento, os seguros cibernéticos tem limitado suas coberturas e com prêmios cada vez mais caros, assim, as empresas precisam priorizar as ações e garantir os recursos necessários para reduzir estes riscos para níveis aceitáveis.
Para apoiar na tomada de decisão e traduzir este desafio em uma linguagem mais executiva, a prática de Quantificação de Riscos Cibernéticos, em inglês CRQ - Cyber Risk Quantification, adota uma estratégia de gestão de riscos com base na mensuração dos riscos de forma monetária, permitindo dimensionar e decidir sobre investimentos e priorizar as ações que proporcionem melhor relação custo x benefício.
Um dos padrões internacionais mais conhecidos para CRQ é o Open FAIR™ (Factor Analysis of Information Risk), desenvolvido pelo Open Group Security Forum, que fornece um framework para identificar, analisar e avaliar os riscos cibernéticos e da informação em termos financeiros.
Tivemos a honra de participar na tradução para português dos principais documentos que compõe o Open FAIR™ possibilitando maior acesso e adoção pelas empresas brasileiras.
No Open FAIR™, o processo de avaliação de riscos consiste em identificar com clareza um cenário de risco (baseado em cenários de perda, controles, ameaças e ativos), estimar a respectiva frequência e magnitude deste cenário e, em seguida avaliar a aceitação ou definir controles para tratamento.
Como exemplo, no caso de Sequestro de Dados ou Ransomware corporativo uma visão da taxonomia do Open FAIR™ para calcular a medida de risco seria:
Para dimensionar corretamente a medida de riscos (em R$) usando o padrão Open FAIR™ é preciso levar em conta a frequência provável de um evento de perda e respectiva magnitude caso a ameaça se concretize. Como fatores de probabilidade que devem ser considerados citamos a frequência provável da ameaça (que é alta) e o nível de suscetibilidade (ou vulnerabilidade) que depende da força de resistência dos controles existentes.
E a partir desta medida de risco podemos então selecionar as melhores opções de tratamento para reduzir este risco, aprimorando ou implementando controles que podem ser evasivos (que reduzem a frequência de contato), dissuasivos (que reduzem a probabilidade de ação), de resistência (que aumentam a força de proteção diminuindo a suscetibilidade) ou responsivos (que reduzem os impactos financeiros da magnitude de perda). Exemplo clássico de controle responsivo no caso de ransomware é o processo de back-up, que minimiza o impacto de um ataque através de uma rápida e eficaz recuperação dos dados em em caso de incidente.
Na seleção dos controles para tratamento dos riscos, deve-se utilizar sempre padrões e frameworks consagrados, sendo que tratando-se de ransomware sugerimos o CSC CIS Controls (Controles Críticos de Segurança do CIS) que hoje constitui a melhor referência em segurança cibernética, com 18 Controles e 153 Medidas de Segurança (Safeguards).
Em um próximo artigo abordaremos uma Estratégia de Proteção contra Ransomware baseada em uma lista de controles do CIS. Até lá.
Abraços,
