Brasil, 15 de Agosto de 2018

+ F O N T E -

Integração da gestão de riscos cibernéticos nas três linhas de defesa

É fato que a preocupação em relação aos riscos cibernéticos ganhou a atenção da Alta Administração de muitas empresas e dos governos, especialmente com a grande cobertura que a mídia tem dado para o assunto, como por exemplo o caso do WannaCry ocorrido em maio de 2017.

De acordo com relatório “The Global Risks Report 20181”, desenvolvido anualmente pelo Fórum Econômico Mundial, Ataques Cibernéticos é o 3º risco em termos de probabilidade, seguido por Roubo ou Fraude de Dados (4ª posição) que também tem relação direta com a segurança cibernética. Em 2016 o risco de ataques cibernéticos não constava no Top 10.

Adicionalmente, os órgãos reguladores no mundo todo têm promulgado leis, regulamentos e orientações que endereçam essa preocupação em relação ao tema segurança cibernética. Como exemplo, o Banco Central do Brasil (BACEN) publicou no último dia 26 de abril a resolução 4.658 que determina que as Instituições Financeiras brasileiras devem definir e implementar uma política e medidas de proteção cibernética, além de monitorar e gerenciar os incidentes cibernéticos.

Desafio de gerenciar os riscos cibernéticos

Em diversas organizações no Brasil o tema segurança cibernética é delegado à área de Tecnologia da Informação (TI), uma vez que o componente tecnológico é visto como o principal mecanismo de proteção a ser implementado e gerenciado. Outro fator que contribui para o foco tecnológico da gestão dos riscos cibernéticos é o desconhecimento dos executivos da organização em relação aos riscos envolvidos e seu real impacto no negócio.

O que algumas empresas não levam em consideração é que quando ocorrem incidentes, a organização pode ser impactada de diversas maneiras. Por esse motivo, os riscos cibernéticos devem ser gerenciados como um risco de negócio, com o mesmo nível de atenção e diligência dos outros riscos corporativos.

Integrando riscos cibernéticos nas três linhas de defesa

Estabelecendo como uma premissa fundamental que risco cibernético é um risco de negócio, faria sentido utilizarmos as estruturas, metodologias, práticas e ferramentas de Gestão de Riscos Corporativos para identificar, classificar, analisar, tratar e monitorar os riscos cibernéticos?

A resposta é sim. E uma vez que a forma de gestão, e principalmente de apresentação e comunicação, dos riscos corporativos é conhecida pela Alta Administração, se torna um pré-requisito a tradução do linguajar técnico, comumente utilizado para comunicar os riscos cibernéticos, para riscos de fácil entendimento de profissionais que não possuem o conhecimento técnico em segurança cibernética, porém conhecem profundamente do negócio da organização, e como riscos podem impactar no atingimento dos objetivos estratégicos ou operacionais.

Do ponto de vista de governança de riscos, a estrutura das Três Linhas de Defesa2 (3LoD – Line of Defense) está sendo amplamente divulgada e implementada pelas organizações.

Como adotar essa estrutura para gerenciar os riscos cibernéticos de uma forma holística e integrada?

Em primeiro lugar, é importante determinar as atribuições de cada linha de defesa para que não haja sobreposição e retrabalho, especialmente no cenário atual de busca constante de otimização de custos nas empresas brasileiras.

Primeira linha de defesa

A 1ª linha de defesa é responsável por implementar e operacionalizar os controles para mitigar os riscos cibernéticos. A tradicional função de segurança de TI se enquadra nesse papel, uma vez que geralmente é responsável por implementar e gerenciar processos e soluções tecnológicas relevantes para a segurança cibernética, tais como desenvolvimento de software seguro, gestão de acessos, gestão de vulnerabilidades e atualização de software, monitoração de eventos de segurança, entre outras.

Entretanto, outras áreas da organização também possuem um papel importante na gestão de riscos cibernéticos:

- Recursos Humanos: Geralmente, os colaboradores de uma organização são o elo mais fraco para assegurar uma adequada segurança cibernética, e deve-se dar o devido nível de atenção do momento da contratação até o desligamento do colaborador. Para que isso ocorra, o departamento de Recursos Humanos deve estar alinhado e conhecer o seu papel na gestão de riscos cibernéticos;

- Suprimentos/Compras: Durante a contratação de um fornecedor, diversas atividades devem ser coordenadas pela área, em conjunto com a área contratante e com o apoio da Segurança da Informação Corporativa (2ª linha de defesa que discutiremos logo a seguir neste artigo), para assegurar que os devidos cuidados foram tomados em relação à s e l e ç ã o do terceiro. Uma adequada gestão de riscos de segurança da informação em terceiros (fornecedores e parceiros) deve ser definida e implementada pela organização. Você tem conforto e confiança de que os seus fornecedores e parceiros tratam a sua informação com o mesmo nível de diligência que a sua organização?

Outras áreas também possuem um papel fundamental nessa gestão de riscos cibernéticos corporativos como Segurança Patrimonial/Física, áreas de negócio e de Inovação e Digital.

Entretanto, como atuar de forma integrada e organizada?

A resposta é a 2ª linha de defesa.

Segunda linha de defesa

É responsável por definir as diretrizes e monitorar o cumprimento pela 1ª linha de defesa.

Na gestão de riscos cibernéticos, a proposição é a existência de uma função de Segurança da Informação Corporativa independente.

Cabe a essa área a responsabilidade por:

Definir a visão, missão e estratégia para gestão dos riscos cibernéticos na organização alinhada à estratégia do negócio e apetite ao risco;
Definir as diretrizes e suportar a 1ª linha de defesa na implementação das políticas, normas e procedimentos considerando seus papéis e responsabilidades;
Realizar o treinamento e conscientização dos colaboradores da organização fomentando uma cultura de segurança cibernética;
Identificar, classificar, analisar, tratar e monitorar os riscos cibernéticos;
Apoiar na gestão de riscos em terceiros (fornecedores e parceiros) durante a s e l e ç ã o do terceiro e durante todo o ciclo de vida do relacionamento da organização com esse terceiro.
Atuar na resiliência e continuidade de negócios (Plano de Continuidade Operacional, Plano de Recuperação de Desastres de TI e Gestão de Crises);
Realizar o monitoramento dos indicadores e da conformidade da organização e dos terceiros.

Terceira linha de defesa

Por fim, a Auditoria Interna necessita de profissionais capacitados e com conhecimento técnico para realizar avaliações independentes que permeiam o ciclo completo de gestão de riscos cibernéticos. É preciso considerar os riscos cibernéticos em todas as auditorias de estratégia, governança e processos da organização e não somente das áreas de TI e Segurança.

O risco cibernético é um risco de negócio e sua efetiva gestão permeia as diversas áreas da organização. O conceito de três linhas de defesa auxilia na estruturação e definição clara dos papéis e responsabilidades de forma que a atuação seja integrada.

Não espere sua organização ser impactada por um incidente cibernético para agir. Entenda como os riscos cibernéticos estão evoluindo e afetam a sua organização, mantenha-se à frente das novas regulamentações, integre uma adequada estratégia e cultura de segurança cibernética dentro da organização, trabalhe integradamente junto aos terceiros para proteger todo o ecossistema do negócio focando nos ativos críticos que não podem ser comprometidos.


Publicidade

Compartilhar::

Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...: https://www.facebook.com/groups/portalnacional/

Separador
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
Separador
No Segs, sempre todos tem seu direito de resposta, basta nos contatar que voce sera atendido. - Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta totalmente automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
Separador

ADICIONE SEU COMENTÁRIO..::
Aja com responsabilidade, aos SEUS COMENTÁRIOS em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Esta ferramenta é automatizada...Sucesso!


voltar ao topo