Como os frameworks de cibersegurança podem apoiar a estratégia da sua empresa?

A seguir, Eduardo Batista, sócio da PwC Brasil, e Fabio Isaguirre, sócio de cibersegurança da EY Brasil, apresentam os principais frameworks do mercado, as vantagens que o uso deles traz para a organizações, além de recomendações sobre como colocar seus controles em prática.

Por que usar frameworks?

O framework é uma ferramenta que atende à demanda por controle dos riscos das corporações para garantir perenidade das operações, crescimento dos negócios e habilitação de novos investimentos. “Isso no nível executivo. No nível tático, eu preciso garantir que tenho controles específicos que sejam eficazes na defesa cibernética, ou seja, passíveis de execução recorrente e que possam ser aferidos por indicadores”, diz Batista que, com Isaguirre, lista as principais vantagens que o uso de frameworks traz para o negócio:

• Medir o nível de maturidade em cibersegurança da organização e se comparar com outras empresas do mercado, seja do mesmo segmento de atuação ou de outros segmentos de referência.
• Atender à demanda dos profissionais que cuidam da segurança na companhia (CISOs – Chief Information Security Officer, CROs – Chief Risk Officer, CIO – Chief Infomation Officer ou mesmo o DPO – Data Protection Officer) que se preocupam com o nível de controle dos ambientes.
• Atender à demanda dos conselhos de administração, que se preocupam com a perenidade dos negócios.
• Atender aos órgãos reguladores e instituições de mercado que, cada vez mais e em diversos segmentos, incluem a segurança cibernética entre suas demandas.
• Ganhar vantagem competitiva no mercado, seja na relação com parceiros da cadeia produtiva, seja entre clientes e consumidores.

Evoluir a postura de segurança da organização frente a futuros incidentes.

Os principais frameworks reconhecidos pelo mercado

• NIST Cybersecurity Framework – É o framework de cibersegurança do National Institute of Standards and Technology, que pertence ao Departamento de Comércio dos Estados Unidos. Ele tem cinco funções para a gestão dos riscos da infraestrutura crítica: identificação, proteção, detecção, resposta e recuperação. “As organizações usam majoritariamente o NIST, para ter uma visão de quais são os principais itens de sua infraestrutura crítica em que há uma defasagem de controle que precisa ser tratada”, diz Isaguirre. Saiba mais na página do NIST.
• CIS Critical Security Controls (CIS Controls) – É o framework do Center for Internet Security. Tem o mesmo objetivo do NIST de trazer luz aos principais riscos, mas adota uma abordagem que prioriza os ataques mais comuns contra infraestrutura e sistemas de informação, ou seja, é um framework de implementação e elevação de maturidade dos controles de defesa. “No NIST, eu falo de aferição de todos os estágios de segurança e proteção contínua. No CIS, é sobre como eu aumento o muro da minha casa”, compara Batista. “O CIS pode complementar o NIST, assim como todos eles se complementam, mas há organizações que usam apenas o CIS, se o foco são os ataques”, diz Isaguirre. Saiba mais na página do CIS.
• SOGP: Standard of Good Practice for Information Security – É o framework do ISF – Internet Security Forum, uma sociedade independente privada da Inglaterra, e que traz uma perspectiva orientada a riscos de cibersegurança para o negócio. Saiba mais na página do ISF.
• ISO/IEC 27000 – São as normas da família ISO/IEC 27000, que tratam do Sistema de Gestão de Segurança da Informação, da International Organization for Standardization. Diferente das demais, a ISO oferece uma certificação para a empresa que demonstrar a aplicação de um conjunto de controles. Saiba mais na página da ISO.
• Coso – É o framework do Committee of Sponsoring Organizations of the Treadway Comission, que atua crosscompany e crossprocess na identificação e gestão corporativa dos riscos. Saiba mais na página do Coso.

Como escolher os frameworks: um combo de sucesso

A escolha de qual ou quais frameworks adotar em uma empresa vai depender, principalmente, do objetivo estratégico, do apetite de risco e das demandas que a corporação está buscando atender, além do investimento, é claro, seguindo critérios determinados pela alta administração. “Além do nível de conformidade, um segundo critério é o quanto a segurança cibernética pode ser um diferencial para o negócio. Essa elevação implica no uso de um potencial maior dos frameworks, para que você tenha maior aderência. E, por fim, o grau de exposição. Toda empresa, hoje, precisa ter sua superfície de ataque mapeada. É importante entender o seu grau de exposição para aplicar a dose correta de cada framework”, explica Batista.

Vale pedir ajuda a especialistas ou consultorias de mercado nessa avaliação. Mas, importante saber: um framework único resolve todos os desafios da gestão de riscos de um negócio? Segundo Batista, não. “Um não é suficiente porque os frameworks de cibersegurança hoje são frameworks táticos; eles não são estratégicos”, explica.

O desafio aqui é facilitar a atuação em conjunto da área técnica com a alta administração das empresas. “Precisamos adotar o Coso, que fala a linguagem do negócio, e ele é que vai trazer as diretrizes para a aplicação de um NIST, por exemplo. Assim, você consegue acoplar aspectos técnicos dentro de um modelo de governança de risco corporativo, passando a ter dois frameworks se conversando e levando informação para a alta administração.”

Dicas dos especialistas

• Leva tempo. Antes de tudo, gerencie as expectativas de tempo de implementação dos controles apontados pelos frameworks. “O assessment [a avaliação] pode levar de dez a doze semanas. Ou seja, em três meses se tem uma fotografia muito realista dos principais riscos e controles. Mas uma jornada, o que eu vou fazer para me adequar à estratégia, pode levar de um a três anos, a depender da maturidade”, diz Isaguirre. Esse tempo depende também da escolha dos controles que serão adotados. “Se não olhei para esse tema nos últimos anos, posso ter muito o que fazer. Mas talvez a minha régua não precise ser a mesma de um banco”, exemplifica.
• Para inglês ver? Os frameworks são guias que, de fato, ajudam a elevar o grau de maturidade de uma empresa em relação à cibersegurança. Mesmo profissionais experientes se beneficiam de um guia completo de boas práticas. Mas, para que não seja apenas “para inglês ver”, depois do assessment, é preciso implementar estratégias de mitigação de riscos e acompanhar os indicadores de forma periódica.
• De olho na nuvem. Não há, hoje, um framework específico para a gestão de riscos em cloud. “A maioria dos incidentes hoje acontece no mundo cloud, é onde mais da metade dos investimentos são feitos e onde as startups já estão nascendo”, diz Batista. Assim, há uma demanda latente para o aperfeiçoamento dos frameworks nesse sentido. No momento, a referência é a adaptação de modelos feita pela Cloud Security Alliance, a partir de frameworks existentes. Ainda assim, no ambiente de nuvem, a empresa beneficia-se pelo fato de o provedor (Microsoft, por exemplo) estar aderente a esses frameworks. Ao desenhar uma arquitetura em nuvem, a empresa consegue acessar esses guias e avaliar pontos que precisam melhorias.

Ao adotar frameworks, empresas se munem de mais informações para reforçar o compromisso com a conformidade de boas práticas e de leis, o que é fundamental para qualquer empresa inspirar confiança entre os próprios clientes no ambiente digital.

Especial Cibersegurança

Promover conhecimento e compartilhar boas práticas para ajudar as organizações a reduzirem os riscos relacionados à segurança é o objetivo deste especial “Cibersegurança”, produzido com o apoio da Microsoft e que conta com dezenas de reportagens, vídeos e podcasts sobre o tema.