A cibersegurança é uma tarefa de todos

Os riscos cibernéticos não podem ser combatidos apenas pelo departamento de TI, especialmente se lhes forem feitos pedidos fora das iniciativas de segurança cibernética. Da mesma forma, a tecnologia que serve objectivos singulares pode causar mais danos do que benefícios. Uma vez que a tecnologia de gestão do risco está empenhada no risco de toda a empresa, pode servir como uma solução para toda a empresa – mesmo que os desafios empresariais que precisam de ser resolvidos, como os das TI, não estejam necessariamente dentro do domínio tradicional da gestão do risco. As crescentes preocupações com a segurança cibernética fazem com que os departamentos de TI trabalhem mais do que nunca. Por exemplo, o ransomware – malware que codifica os dados e exige um resgate para os descodificar – aumentou 6000% em 2016, de acordo com um estudo da IBM divulgado no final do ano passado.

Estas estatísticas revelam um verdadeiro fardo para os já sobrecarregados departamentos de TI. Não só estão ocupados a combater vírus, hackers, ransomware e afins, como ainda têm de assumir as responsabilidades quotidianas que sempre couberam às TI.

Durante o terceiro trimestre de 2017, a Associação Nacional de Comissários de Seguros adoptou a Lei Modelo de Segurança de Dados de Seguros. A lei modelo, que não é juridicamente vinculativa como uma lei promulgada, serve como uma “estrutura a partir da qual os reguladores de seguros em cada estado podem criar as suas próprias regras de segurança cibernética”, de acordo com o artigo da Property and Casualty 360, “5 coisas que deves saber sobre a nova lei modelo de segurança de dados da NAIC“. O Property Casualty 360 diz que as cinco coisas que todos devem saber sobre a lei modelo são:

  1. O panorama dos riscos cibernéticos está a evoluir.
  2. Os requisitos de segurança cibernética do Estado de Nova Iorque para as empresas financeiras influenciaram a lei modelo da NAIC.
  3. A lei modelo da NAIC é diferente de uma lei promulgada.
  4. As empresas de seguros devem adotar práticas específicas em matéria de cibersegurança.
  5. Espera-se que os conselhos de administração das empresas assumam a liderança no que respeita aos esforços de cibersegurança.

Se estás à procura de eficiências na tua própria gestão de riscos ou departamentos relacionados, nomeadamente através do investimento em software ou tecnologia, talvez queiras considerar e depois transmitir a forma como esse investimento pode ajudar o teu pessoal de TI, que está sobrecarregado de trabalho – tanto do ponto de vista da segurança como da eficiência.

Por outras palavras, ajuda-os a ajudar-te.

Como combater 3 grandes desafios de TI

Considerando que a cibersegurança é um dos principais riscos para as organizações atualmente, a tecnologia de gestão integrada do risco é uma ferramenta natural para ajudar a combatê-la – mesmo que não se destine diretamente aos utilizadores de TI. Aqui estão três desafios de TI que a tecnologia de gerenciamento de risco integrado pode ajudar a resolver:

1. Segurança

Já sabemos que a proteção dos dados organizacionais se tornou uma função crítica da departamentos de TI. Como resultado, querem soluções com segurança de ponta a ponta. The right risk management technology will automatically include the following controls, (just to name a few):

  • Políticas de palavra-passe que podem ser definidas de acordo com as normas do cliente, incluindo tempos limite, duração e força da palavra-passe
  • Funções de segurança definidas/atribuídas pelo cliente aos utilizadores – até ao nível do campo – para impedir o acesso não autorizado a qualquer parte do sistema, incluindo objectos, relatórios, layouts e vistas de página e campos específicos
  • Proteção de servidores em instalações de centros de dados de primeira linha com controlos de acesso físico adequados
  • Firewalls com perímetros rigorosamente controlados, sistemas de deteção de intrusão e monitorização proactiva de registos
  • Serviços de validação de terceiros que atestam a natureza segura do software

2. Conformidade

Conformidade informática é um conjunto especializado de actividades para garantir que uma organização cumpre os requisitos das obrigações contratuais e os regulamentos de TI impostos pelo governo para a proteção de activos e processos de dados. O não cumprimento adequado desta função pode resultar em multas substanciais e penalizações contratuais, bem como na perda de negócios.

Permitir que o teu departamento de TI se concentre em iniciativas de cibersegurança requer, naturalmente, tecnologia segura que cumpra os normas mais exigentes impostos pelos organismos internos e regulamentares.

No entanto, pode ajudar ainda mais a missão crítica do seu departamento de TI de proteger o ambiente digital da sua organização, apresentando-lhe soluções que tornem o departamento mais eficiente – libertando os profissionais para se concentrarem mais na cibersegurança e menos nas dores de cabeça administrativas associadas à gestão dos riscos de conformidade.

Algumas caraterísticas da tecnologia de gestão de riscos que as TI podem apreciar incluem: uma pista de auditoria completa de todas as actividades de conformidade, incluindo atestados; um registo de activos um registo de activos ilimitado com relações utilizadas para definir a localização, posse, configuração, software, etc.; soluções totalmente configuráveis de acordo com os requisitos da sua organização; e relatórios que permitem a identificação rápida de todas as instâncias de qualquer tipo de ativo.

3. Sobrecarga da aplicação

Tal como tu Os departamentos de TI não têm falta de desafios, mas também não têm falta de aplicações tecnológicas que têm de manter. Na verdade, são muitas vezes atrasados pela proliferação de aplicações que as suas empresas utilizam atualmente.

Os departamentos de TI gastam imenso tempo a atualizar ou a modificar as aplicações das suas organizações para que estas funcionem, e muito menos para que trabalhem em conjunto para obter o máximo benefício.

É por isso que investir em soluções que possam realmente consolidar ou reduzir a quantidade de aplicações utilizadas, especialmente em servidores internos, pode criar uma enorme eficiência para o departamento de TI – e, de facto, reduzir os riscos de segurança.

Menos tempo gasto a gerir várias aplicações pode significar mais tempo dedicado à cibersegurança. Além disso, menos aplicações significam provavelmente menos risco de uma ou várias dessas aplicações causarem uma violação ou não estarem em conformidade.

A tecnologia de gestão integrada de riscos foi criada para abranger uma variedade de departamentos e desafios empresariais – com o objetivo de ser uma fonte única de verdade em toda a empresa.

Por conseguinte, é um candidato ideal para substituir toda uma série de aplicações, desde sistemas de gestão de riscos empresariais e sistemas de gestão de saúde e segurança, a sistemas de gestão de riscos de fornecedores e sistemas de gestão de conformidade e regulamentação.

A tecnologia de Gestão de Riscos, pela sua própria natureza, é construída para abranger uma variedade de departamentos e desafios empresariais. Assim como o risco organizacional é amplo, também o são as soluções alojadas em um sistema de informações de gerenciamento de riscos. De facto, a tecnologia de gestão de risco pode, muitas vezes, substituir as seguintes soluções (e outras) que são ofertas únicas de alguns fornecedores:

  1. Análise de Inteligência Empresarial
  2. Sistemas de Gestão de Riscos Empresariais
  3. Sistemas de auditoriainterna e operacional
  4. Sistemas de gestão de saúde e segurança
  5. Sistemas de Gestão de Conformidade e Regulamentação
  6. Sistemas de gestão do risco do fornecedor
  7. Sistemas de continuidade de negócios

Isto vai, naturalmente, ao cerne da questão de ajudar as TI a serem mais eficientes e, consequentemente, mais seguras.

Violação de dados, o maior risco para as empresas

A Equifax, uma agência de informação de crédito ao consumidor dos EUA, anunciou o incidente de cibersegurança no final da semana passada, fazendo com que as acções caíssem até 14%. De acordo com o anúncio, os criminosos exploraram uma vulnerabilidade na aplicação de um site dos EUA para obter acesso a informações – incluindo nomes, números da Segurança Social, datas de nascimento, moradas e, em alguns casos, números de carta de condução e de cartões de crédito. E, embora a Equifax seja única no sentido em que todo o seu modelo de negócio se baseia essencialmente em dados de clientes altamente sensíveis, a maioria das empresas tem esses dados armazenados em clientes ou funcionários – particularmente quando se trata de seguros pessoais e dados de reclamações, muitos dos quais reflectem a informação confiscada na violação da Equifax. Isto significa que, essencialmente, nenhuma empresa pode ser demasiado cautelosa. A cibersegurança é consistentemente apontada como um dos principais riscos para as empresas – com o cibercrime a custar à economia global cerca de 445 mil milhões de dólares por ano, de acordo com um relatório do Centro de Estudos Estratégicos e Internacionais intitulado “Net Losses: Estima o custo global do cibercrime”. Neste ambiente infeliz em que os ataques cibernéticos parecem ser eventos do tipo “quando” mais do que “se”, as organizações estão obviamente à procura de formas de minimizar o impacto de uma violação da cibersegurança nos seus negócios. Naturalmente, as empresas pensam em recorrer aos seguros para ajudar a reduzir os potenciais danos, mas garantir apólices de responsabilidade cibernética não é uma tarefa simples, porque as seguradoras estão a lutar para subscrever com precisão estes riscos, de acordo com informações da Associação Nacional de Comissários de Seguros (NAIC). Dito isto, as empresas precisam de normas e processos para reduzir os riscos cibernéticos e os danos associados – tanto para efeitos de mitigação de riscos como de elegibilidade para seguros de responsabilidade cibernética. De acordo com a NAIC, é provável que as seguradoras queiram ter acesso aos planos de resposta a catástrofes das empresas, para poderem avaliar a gestão de riscos das redes, dos sítios Web, dos activos físicos e da propriedade intelectual; detalhes sobre a forma como os empregados e outras pessoas podem aceder aos sistemas de dados; e informações sobre o software antivírus e anti-malware, a frequência das actualizações e o desempenho das firewalls.

4 perguntas a fazer aos fornecedores sobre cibersegurança

A tecnologia de gestão de riscos adequada pode, de facto, ajudar a resolver várias peças do puzzle da cibersegurança que as empresas enfrentam atualmente – em particular, diminuindo a carga do seu departamento de TI e melhorando os seus processos de resposta a catástrofes. Por exemplo, uma tecnologia de gestão de riscos verdadeiramente integrada pode substituir inúmeras aplicações (desde soluções de gestão de riscos empresariais e Sarbanes-Oxley, a soluções de gestão de sinistros e de conformidade e gestão regulamentar, a soluções de gestão de saúde e segurança). Com menos aplicações ou sistemas para gerir e menos carga no seu servidor interno, o seu departamento de TI poderá ter mais tempo para se concentrar em esforços de cibersegurança mais amplos e com maior impacto. Esta é apenas a ponta do iceberg em termos do que a tecnologia de gestão de riscos pode fazer pelo seu departamento de TI e pela cibersegurança. Quanto aos planos de recuperação de desastres, a tecnologia de gestão de riscos pode automatizar todo o processo de resposta a desastres: Caso ocorra uma violação da cibersegurança, o sistema pode pôr automaticamente em marcha o plano de resposta a desastres, alertando os intervenientes para o evento e para os passos seguintes que os responsáveis devem dar. Uma abordagem bem oleada e atempada não só ajudará provavelmente na gestão da reputação em tais cenários, como também poderá ajudar na conformidade, uma vez que os requisitos estão a aumentar a nível global relativamente à forma como os dados e as violações subsequentes devem ser tratados. A tecnologia de gestão de riscos serve para ajudar as organizações com a vasta gama de riscos que as empresas enfrentam atualmente, incluindo a cibersegurança. A cibersegurança é uma questão que as organizações não se podem dar ao luxo de encarar de ânimo leve – quer internamente, quer com os seus fornecedores. A cibercriminalidade custa à economia global cerca de 445 mil milhões de dólares por ano, de acordo com um relatório do Center for Strategic and International Studies intitulado “Net Losses: Estima o custo global do cibercrime”. Independentemente do tipo de tecnologia que implementas na tua empresa e da função a que se destina – quer seja para gerir riscos, conteúdos, clientes, etc. – tens de garantir que é segura e que o fornecedor de tecnologia de suporte tem os melhores procedimentos de cibersegurança implementados. Eis quatro perguntas que deve fazer a qualquer fornecedor de tecnologia que lhe forneça software como serviço ou que trate dos seus dados, para garantir que estão a minimizar os riscos de cibersegurança para a sua empresa:

  1. A tua empresa tem certificação de segurança de dados (ou seja, SSAE-16 Tipo 1 e Tipo 2, SOC-2, etc.)?
  2. O que é que a tua empresa está a fazer, para além da certificação, para estar preparada para novas ameaças?
  3. A tua empresa tem equipas de resposta à cibersegurança?
  4. A tua empresa ou os teus parceiros têm a sua própria cobertura de seguro de cibersegurança?

Estas questões são certamente pertinentes quando se trata de contactar fornecedores de tecnologia de gestão de riscos, uma vez que os dados relativos a riscos, seguros e sinistros podem ser altamente sensíveis.

Como escolher as soluções certas

Como é que consegues fazer a triagem através do hype e investir nas soluções que, em última análise, farão a maior diferença em toda a organização – incluindo a Gestão de Riscos – de modo a que o departamento de riscos, as TI, o aprovisionamento e a liderança da empresa sintam que estão a obter o melhor retorno do investimento? O Hype Cycle da Gartner para a Gestão de Riscos1 descreve os serviços relacionados, plataformas de software, aplicações, métodos e ferramentas que as organizações podem usar para desenvolver programas para resistir a eventos de risco ou para tirar partido de oportunidades relacionadas com o risco”.

As organizações podem então determinar se são mais adequadas para adotar a tecnologia numa fase inicial; adotar uma abordagem mais moderada; ou esperar até que a tecnologia esteja totalmente madura antes de investir.

Os clientes da Gartner podem aceder ao Gartner Hype Cycle 2017 para a Gestão de Riscos aqui.

O mais recente Gartner Hype Cycle for Risk Management destaca a maturidade das soluções e aplicações para categorias como gestão integrada de riscosgestão integrada de riscos, gestão digital de riscos, gestão de riscos de TI, análise preditiva, gestão de riscos de ponta a ponta, conformidade e supervisão empresariale muito mais.

Embora não se aprofunde em soluções tecnológicas específicas de determinados fornecedores, lista exemplos de fornecedores (incluindo a Riskonnect) juntamente com as categorias de soluções que apresenta.

Ferramentas como o Gartner Hype Cycle for Risk Management podem ajudar os teus esforços de diligência devida.

Conhecer o âmbito do que está disponível e saber se as soluções estão no ponto de maturação que faz sentido para a tua organização conduzirá a uma melhor tomada de decisões e a melhores resultados.

Saiba mais sobre as soluções tecnológicas de Gestão de Riscos da Riskonnect que se alinham com as soluções do Gartner Hype Cycle for Risk Management, incluindo: gerenciamento integrado de riscos análise preditiva, gerenciamento de riscos de ponta a ponta e conformidade e supervisão empresarial.

A tecnologia de gestão de riscos adequada não só deve ser segura, como também deve ser capaz de ajudar na forma como o seu programa de cibersegurança funciona. Por exemplo, uma tecnologia de gestão de riscos verdadeiramente integrada pode aliviar o seu departamento de TI da gestão de tantas aplicações; simplificar o processo de recuperação de desastres no caso de uma violação; ou ajudar nos esforços de prevenção e conformidade, acompanhando os requisitos de formação em cibersegurança, juntamente com a conclusão da formação dos funcionários.

Conclusão

Em conclusão, embora seja importante examinar adequadamente as práticas de cibersegurança dos seus fornecedores, não te esqueças de fazer também as perguntas acima mencionadas à tua liderança interna de TI. Ironicamente, as organizações apercebem-se muitas vezes de que não cumprem os requisitos de segurança de dados que pedem aos seus fornecedores durante os processos de aquisição ou implementação. Atualmente, os riscos cibernéticos são a principal preocupação das empresas, uma vez que cada vez mais empresas são vítimas de violações de dados dispendiosas e prejudiciais. Prepara-te para este risco – e tantos outros – com a ajuda da tecnologia de gestão de riscos. 1 Gartner, Hype Cycle for Risk Management, 2017, julho de 2017

A Gartner não apoia qualquer fornecedor, produto ou serviço descrito nas suas publicações de investigação e não aconselha os utilizadores de tecnologia a seleccionarem apenas os fornecedores com as classificações mais elevadas ou outra designação. As publicações de pesquisa da Gartner consistem nas opiniões da organização de pesquisa da Gartner e não devem ser interpretadas como declarações de factos. A Gartner renuncia a todas as garantias, expressas ou implícitas, relativamente a esta investigação, incluindo quaisquer garantias de comercialização ou adequação a um determinado fim .