5 passos recomendados por especialistas para estabelecer uma estratégia de cibersegurança

No Relatório de Riscos Globais 2021, publicado pelo Fórum Econômico Mundial, as falhas em segurança cibernética aparecem entre os riscos de maior probabilidade para os próximos dez anos na Pesquisa de Percepção de Riscos Globais conduzida pelo Fórum, junto com condições climáticas extremas, falhas em respostas climáticas e danos ambientais causados pelo homem, concentração de capacidades digitais e desigualdade digital.

Assim, como próximo passo, entra para a agenda das corporações o estabelecimento de uma estratégia de segurança. Mas o que isso quer dizer? “É a criação de um ecossistema de segurança que visa aumentar a resiliência cibernética”, define Márcia Tosta, Gerente Executiva de Segurança da Informação da Petrobras. “Ou seja, é conhecer o ambiente de forma que se consiga entender o que deve ser protegido, definir prioridades e as barreiras de defesa que serão implementadas”, explica.

Dois pilares direcionam uma estratégia de segurança corporativa. O primeiro é fundamental e comum para todas as empresas: a higiene básica de segurança. “É ter ferramental e um time preparado para identificar, conter e responder, dentro de uma estrutura organizada, aos ataques que são conhecidos”, explica Glauco Sampaio, CISO (Chief Information Security Officer) da Cielo.

O segundo pilar é a proteção do negócio e está ligado às particularidades de cada empresa, especialmente ao seu apetite de risco. Não há um modelo único ou um gabarito. “É preciso entender o que a empresa busca, qual é o caminho que está tomando para que sua estratégia de segurança seja um viabilizador e que o agente de segurança tenha o papel de apoiar as áreas de negócio, definindo, em conjunto, a modelagem de ameaça e os mecanismos de controle e mitigação de riscos”, diz Sampaio.

“Assim, eu não posso vir com a minha estratégia que eu carrego por todas as empresas por onde passo e implementar. A estratégia precisa ser construída com base no que ela pode entregar de resultado para esta empresa.”

A seguir, os especialistas indicam cinco fatores fundamentais para construir, com sucesso, uma estratégia de segurança.

1) Mapeamento das joias da coroa

Uma estratégia de segurança só pode ser implementada uma vez que se conheça profundamente o negócio. “O CISO tem que mapear as joias da coroa: o que é e onde está o coração da operação. Ele precisa conhecer bem o que precisa ser protegido, onde será empenhado maior esforço”, diz Márcia. A partir daí, é possível priorizar e desenhar as barreiras de defesa e como elas vão interagir entre si para permitir a proteção adequada para aquela empresa, considerando suas tecnologias e processos. “É o desenho do ecossistema de segurança: como se conectam projetos, pessoas e tecnologias para atingir o apetite de risco da companhia.”

Para ajudar empresas a desenharem as barreiras de defesa em um ambiente de constantes mudanças, a Microsoft preparou o e-book Guia para acesso seguro contínuo: Uma experiência de usuário aprimorada com segurança reforçada (Guide to Seamless Secure Access).

2) Frameworks e auditorias

Não há uma receita para a criação de uma estratégia de segurança, mas há frameworks de mercado que ajudam nessa jornada. “Eles são, basicamente, guias de boas práticas, uma espécie de cartilha do que você deveria ter na sua empresa. Fazer uma revisão do estado de segurança frente a um desses guias é um pontapé inicial para você criar o seu modelo de higiene cibernética”, explica Sampaio.

Entre os frameworks mais conhecidos e usados pelos profissionais de segurança estão o do National Institute of Standards and Technology (NIST), órgão do Departamento de Comércio dos Estados Unidos, e o do Center for Internet Security (CIS), uma organização independente reconhecida globalmente.

3) Indicadores

“Os indicadores têm um papel essencial no sentido de dar visibilidade para o que está acontecendo, senão a área de segurança vira um ralo de dinheiro. Nós precisamos mostrar o quanto está sendo mitigado de riscos da companhia, se sua estratégia está dando resultado”, diz Sampaio. Além disso, os controles dão um parâmetro para investimentos futuros.

“Existe um patamar em que os números é que dizem se vale investir mais em determinados controles, frente ao possível impacto financeiro que se deseja prevenir”, explica. Márcia recomenda o uso de auditorias externas para medir os indicadores de segurança – as chamadas “Big Four” (EY, PwC, Deloitte e KPMG) fazem essa auditoria e fornecem um selo.

Também é possível medir e acompanhar o nível de maturidade da empresa ao longo da jornada de implementação da estratégia de segurança – nesse caso, a Gartner fornece uma escala, por disciplina, que permite a comparação com os pares de mercado. “Tudo precisa ser medido e evidenciado”, reforça Márcia.

4) Engajamento da alta gestão

“Sem o apoio da alta gestão, você não consegue fazer acontecer”, diz Márcia, lembrando que os planos de ação de uma estratégia levam no mínimo dois anos para serem implementados. “Por isso, a primeira coisa que a gente faz são as entrevistas com os executivos, para entender exatamente a expectativa sobre o trabalho de segurança, o apetite de riscos, para que haja um alinhamento muito forte com a alta gestão”, diz Márcia.

Sampaio relata que, nos últimos anos, ficou mais fácil dialogar com o conselho sobre segurança. “Essa conversa foi facilitada pela importância que o tema tomou e pela bagagem dos executivos. E esse é o principal ponto de sucesso da estratégia”, concorda. (Também falamos sobre a segurança cibernética na agenda da alta liderança aqui.)

Essa percepção é validada pelo Instituto Brasileiro de Governança Corporativa (IBGC), que, em 2019, publicou um documento chamado “Papéis e Responsabilidades do Conselho na Gestão de Riscos Cibernéticos”, com o objetivo de informar e preparar o conselheiro (e demais agentes de governança) a lidar os riscos cibernéticos.

No documento, o Instituto ressalta que “o perigo cibernético é um dos mais importantes riscos empresariais do nosso tempo, e é premente que a sua supervisão esteja consolidada na agenda dos conselhos de administração e dos demais responsáveis pela governança corporativa. O papel de supervisão do conselho exige que seus membros compreendam a natureza dos riscos de segurança cibernética e priorizem a sua vigilância”. Assim, orientam, “cabe ao conselho informar-se e liderar a conscientização e o comprometimento da empresa sobre a importância da segurança cibernética, assim como acompanhar a implantação da cultura e de iniciativas concretas, voltadas para a segurança da informação”.

5) Comunicação e conscientização

Por fim, outro fator de sucesso de uma estratégia é que ela seja comunicada para todas as áreas e parceiros de uma empresa, em uma linguagem que todos entendam, e que sejam feitos programas de conscientização. “Isso inclui a conscientização dos usuários sobre o básico de segurança, mas também derivar a estratégia para públicos específicos”, diz Sampaio.

Ele se refere, por exemplo, inclusive à área de tecnologia. “Quem vai para a linha de frente na batalha em caso de ataque são eles. Além disso, os desenvolvedores e times de projetos e produtos precisam ter minimamente uma pulga atrás da orelha em relação a riscos e traga o profissional de segurança para atuar”, diz.

Para isso, não basta criar cursos obrigatórios. “É preciso um modelo de comunicação que sensibilize as pessoas para o dia a dia, para que cada um entenda os porquês da estratégia e vire um agente de segurança da sua empresa.”

Especial Cibersegurança