Você deve estar se perguntando sobre o título deste artigo, não é mesmo? Logo a Gestão de Risco, que é um tema de importância nas empresas e fornece a visibilidade do estado atual da organização perante os riscos, seja para riscos em projetos, em third party, em risk assessments aplicados, auditorias e riscos tecnológicos identificados em testes de invasão, etc.
Nestes anos trabalhando na área de Segurança de Informação – e após ter passado por grandes corporações de médio e grande porte –, tive a oportunidade de praticar a visão e o modelo de Gestão de Risco em cenários distintos. Algumas com processos bem estruturados, com uma maturidade elevada, e outras com pouco entendimento a respeito do objetivo principal deste processo, no qual o intuito sempre foi a proteção dos dados.
Por esta razão tive a percepção de que a Gestão de Risco pode não ser para todas empresas. Em outras palavras, se não houver um compromisso por parte da alta gestão não adianta nem começar a implementar. Caso siga adiante, vai servir apenas para criar uma imagem ilusória de um processo ineficaz e iludir alguns, como a gestão de terceiros (third-party), caso o ambiente tecnológico seja inspecionado em relação à maturidade em segurança da informação. Como já dizia um grande sábio “Não há nada oculto que não venha a ser revelado”.
Diante do cenário atual de Cyber Security tenho pensado o quanto este assunto é sustentado pela alta gestão, pois se fala tanto em Cyber Security e outras novas tecnologias, mas se não fizermos o básico de Gestão de Risco continuaremos a viver no approach técnico sem conseguir dar visibilidade dos reais riscos e apetites para o business. Sendo assim resolvi elucidar em algumas fases as experiências vividas.
Nesta época enquanto trabalhava com suporte de BBS e suporte de infraestrutura, administração de rede e gestão de firewall – por ter um visão bem técnica –, era comum visualizarmos somente possíveis falhas de segurança em serviços e configurações erradas em sistemas. Gerir risco era coisa da NASA! O máximo que fazíamos era ter um controle em planilha sobre os servidores que aplicávamos os patches de segurança.
Logo que comecei a trabalhar em um banco americano, o assunto de Cyber Threats já era bem disseminado na cultura organizacional. Aqui, modelos de frameworks já faziam parte da gestão, como change management, configuration management, auditoria, etc. COBIT, ITIL e modelos de gestão de segurança e governança já eram ativos, mas a gestão de risco ainda estava em formato adolescente. Esforços para aplicar a gestão de risco financeiro no meio tecnológico estavam em estágios intermediários rumo a maturidade.
Em 2005 trabalhei para uma grande processadora de cartão, que trazia uma visão de gestão de riscos da sua matriz americana. Processos estavam mais ajustados, suportados por auditoria frequentes, e todos os riscos tecnológicos eram mapeados. Além de usar planilhas para gestão de vulnerabilidades, realizávamos diligências prévias em parceiros de negócios e provedores de serviços. Criamos um portal na Intranet com um painel de gestão de risco, seguindo o modelo conhecido do NIST 800-30, no qual era visível para o senior management os principais riscos tecnológicos do coração da empresa. Um comitê de segurança e uma ferramenta automatizada, recentemente implantada, movia insumos para ganhar e conquistar os executivos. Claro que nem tudo era perfeito, mas assinar uma carta de alto risco não era tão simples, porque dava visibilidade para a matriz. Um pouco mais tarde, em um grande banco diante de uma fusão, nosso time de segurança percebeu a ausência de um processo eficaz de gestão de fornecedores e, logo, um novo modelo foi implantando, elevando a maturidade da Gestão de Risco para os acionistas do banco.
Neste tempo trabalhei para uma Big Four e, novamente na área de cartão de crédito e finanças, tive algumas experiências desenhando modelos de gestão de risco e gestão de fornecedores, realizando auditorias em clientes específicos. A nossa hora de consultoria era bem cara e o que os clientes esperavam eram novidades que poderiam fazer a diferença no seu negócio. Consequentemente migrei para uma conceituada empresa de cartão e, ali, modelos de gestão de riscos já estavam implementados. Porém, a chegada do PCI-DSS fez com que a empresa desse um salto em maturidade em gestão de risco e governança em segurança.
Recebi a missão para implantar uma área de Segurança da Informação, onde usei todo o meu conhecimento, experiência e mentoring de alguns amigos experientes. Uma foto da situação atual foi tirada, um modelo de gestão de segurança foi proposto e parcialmente implementado, havia um suporte do CIO e o comitê de segurança acontecia, mas, o que movia algumas ações, era a exigência de controles de segurança por parte dos clientes do setor financeiro e seguros. Ainda faltava a alta direção agarrar a ideia e trazê-las no peito e, como resultado, acabou falhando. Eis que, então, trabalhando para um gigante de tecnologia alocado em um grande cliente, fui responsável por gerir o relacionamento com o CSO. Além disso, eu tinha como responsabilidade garantir o sucesso do processo de Gestão de Vulnerabilidades, mas, a falta de janelas para atualização dos sistemas e a miopia de alguns líderes, não ajudavam. Cartas e mais cartas de riscos foram criadas e poucas assinadas, e os controles mitigatórios ficavam sem esperança, talvez por falha do CSO, em não conseguir engajar os objetivos de infosec com a alta gestão, ou realmente uma mera miopia.
Como o especialista e admirado Marcos Sêmola cita em um livro de sua autoria, sobre Gestão da Segurança da Informação, a parte do iceberg que vemos fora da linha d’água é enganosa, pois o gelo submerso representa aproximadamente 7 vezes mais do que a fração de gelo visível. Assim tem sido, em algumas empresas no mercado brasileiro e fora: o gelo que permanece submerso está escondido dos nossos olhos.
Nesse tempo o uso da tecnologia Cloud despertou e rompeu limites de regras corporativas em virtude da redução de custo, agilidade e escalabilidade, visto que todo mundo começou a migrar para cloud (SaaS, IaaS, PaaS). O enigma do desconhecido revelou-se ao mercado, de modo literal, não irei generalizar o contexto, pois existem boas empresas neste meio com um nível de segurança altíssimo, mas ainda é factível encontrar ambientes de Cloud sem um controle efetivo de segurança. Entretanto, a missão aqui é realmente aplicar o máximo de controles e assegurar que seus dados estão realmente protegidos.
Evidente que a cloud, com sua elasticidade e facilidade, pagando somente por aquilo que é usado, tem sido incluído nos roadmaps do Plano Diretor de TI e Segurança em qualquer empresa, independentemente do seguimento. Atualmente, como ISO na indústria, tenho experimentado o modelo de Gestão de Risco adotado pela organização. A área de Segurança da Informação já está por aqui a muitos anos, diversos modelos de frameworks implantados, tais como CASB, SDLC, COBIT, ITIL, ISO, NIST, OWASP, entre outros, e pelo menos a maior parte dos riscos conhecidos, considerados críticos para a organização, tem sido mapeada e gerida por soluções apropriadas.
Quando nos deparamos com um risco alto, antes de qualquer avanço, é feita uma análise mais profunda, se necessário um threat model é aplicado. O risco é discutido com os diretores de business, tecnologia e, inclusive, com a alta gestão de Segurança da Informação para, só depois de justificativas convincentes, com plano de remediação, tais riscos serem assinados e acompanhados. Fato é, que não podemos garantir 100% de eficiência em todo o ambiente, pois estamos em uma era multiforme, que requer mais atenção, e envolve diversas tecnologias como Cloud, IoT, IA, Machine Learning, BYOD, Blockchain, etc.
Considerando-se que um risco alto em um Cloud Provider é encontrado, dependendo do caso, é reprovado e o business, mesmo contrariado da necessidade do serviço, nem sempre é convincente para prosseguir com o compromisso. Gerir Riscos é um processo contínuo e crucial, se não houver uma abordagem de sobrevivência não haverá sucesso. A ideia em mente é sempre “Se não gerimos os riscos, estamos aptos a desaparecer do mapa”.
Alguns modelos aqui citados podem ajudar a gerir este novo cenário de Cyber Security. Frameworks como: National Cyber Security Centre (NCSC), Continuous Adaptive Risk and Trust Assessment (CARTA) e Cloud Access Security Broker (CASB) são ferramentas a considerar para gerir as ameaças emergentes em um novo ecossistema.
Contudo, foi neste contexto que cheguei à conclusão de que Gestão de Risco talvez não seja para todas as empresas. Se não for tipificado na alma dos executivos a consciência de que a sua sobrevivência no mercado pode ser comprometida, seja por fatores de riscos de reputação, financeiro e, principalmente, riscos relacionados a regulamentações, tais como: GDPR, HIPPA, PCI-DSS, Resolução nº 4.658 do Banco Central, entre outras. Talvez eu esteja enganado, mas, minha percepção me leva a discernir que, a falta de regulamentação em algumas áreas é a grande vilã pela forma míope de enxergar a Gestão de Risco nas empresas. Ou será que é uma breve especulação por minha parte?
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
Texto: