Você deve estar se perguntando sobre o título deste artigo, não é mesmo? Logo a Gestão de Risco, que é um tema de importância nas empresas e fornece a visibilidade do estado atual da organização perante os riscos, seja para riscos em projetos, em third party, em risk assessments aplicados, auditorias e riscos tecnológicos identificados em testes de invasão, etc.
Nestes anos trabalhando na área de Segurança de Informação – e após ter passado por grandes corporações de médio e grande porte –, tive a oportunidade de praticar a visão e o modelo de Gestão de Risco em cenários distintos. Algumas com processos bem estruturados, com uma maturidade elevada, e outras com pouco entendimento a respeito do objetivo principal deste processo, no qual o intuito sempre foi a proteção dos dados.
Por esta razão tive a percepção de que a Gestão de Risco pode não ser para todas empresas. Em outras palavras, se não houver um compromisso por parte da alta gestão não adianta nem começar a implementar. Caso siga adiante, vai servir apenas para criar uma imagem ilusória de um processo ineficaz e iludir alguns, como a gestão de terceiros (third-party), caso o ambiente tecnológico seja inspecionado em relação à maturidade em segurança da informação. Como já dizia um grande sábio “Não há nada oculto que não venha a ser revelado”.
Diante do cenário atual de Cyber Security tenho pensado o quanto este assunto é sustentado pela alta gestão, pois se fala tanto em Cyber Security e outras novas tecnologias, mas se não fizermos o básico de Gestão de Risco continuaremos a viver no approach técnico sem conseguir dar visibilidade dos reais riscos e apetites para o business. Sendo assim resolvi elucidar em algumas fases as experiências vividas.
Era dos Provedores de Internet
Nesta época enquanto trabalhava com suporte de BBS e suporte de infraestrutura, administração de rede e gestão de firewall – por ter um visão bem técnica –, era comum visualizarmos somente possíveis falhas de segurança em serviços e configurações erradas em sistemas. Gerir risco era coisa da NASA! O máximo que fazíamos era ter um controle em planilha sobre os servidores que aplicávamos os patches de segurança.
Era dos Internet Banking
Logo que comecei a trabalhar em um banco americano, o assunto de Cyber Threats já era bem disseminado na cultura organizacional. Aqui, modelos de frameworks já faziam parte da gestão, como change management, configuration management, auditoria, etc. COBIT, ITIL e modelos de gestão de segurança e governança já eram ativos, mas a gestão de risco ainda estava em formato adolescente. Esforços para aplicar a gestão de risco financeiro no meio tecnológico estavam em estágios intermediários rumo a maturidade.
Era Basiléia e SAS70 em evidência
Em 2005 trabalhei para uma grande processadora de cartão, que trazia uma visão de gestão de riscos da sua matriz americana. Processos estavam mais ajustados, suportados por auditoria frequentes, e todos os riscos tecnológicos eram mapeados. Além de usar planilhas para gestão de vulnerabilidades, realizávamos diligências prévias em parceiros de negócios e provedores de serviços. Criamos um portal na Intranet com um painel de gestão de risco, seguindo o modelo conhecido do NIST 800-30, no qual era visível para o senior management os principais riscos tecnológicos do coração da empresa. Um comitê de segurança e uma ferramenta automatizada, recentemente implantada, movia insumos para ganhar e conquistar os executivos. Claro que nem tudo era perfeito, mas assinar uma carta de alto risco não era tão simples, porque dava visibilidade para a matriz. Um pouco mais tarde, em um grande banco diante de uma fusão, nosso time de segurança percebeu a ausência de um processo eficaz de gestão de fornecedores e, logo, um novo modelo foi implantando, elevando a maturidade da Gestão de Risco para os acionistas do banco.
Era PCI-DSS para toda a esfera de cartão
Neste tempo trabalhei para uma Big Four e, novamente na área de cartão de crédito e finanças, tive algumas experiências desenhando modelos de gestão de risco e gestão de fornecedores, realizando auditorias em clientes específicos. A nossa hora de consultoria era bem cara e o que os clientes esperavam eram novidades que poderiam fazer a diferença no seu negócio. Consequentemente migrei para uma conceituada empresa de cartão e, ali, modelos de gestão de riscos já estavam implementados. Porém, a chegada do PCI-DSS fez com que a empresa desse um salto em maturidade em gestão de risco e governança em segurança.
Era estável e instável
Recebi a missão para implantar uma área de Segurança da Informação, onde usei todo o meu conhecimento, experiência e mentoring de alguns amigos experientes. Uma foto da situação atual foi tirada, um modelo de gestão de segurança foi proposto e parcialmente implementado, havia um suporte do CIO e o comitê de segurança acontecia, mas, o que movia algumas ações, era a exigência de controles de segurança por parte dos clientes do setor financeiro e seguros. Ainda faltava a alta direção agarrar a ideia e trazê-las no peito e, como resultado, acabou falhando. Eis que, então, trabalhando para um gigante de tecnologia alocado em um grande cliente, fui responsável por gerir o relacionamento com o CSO. Além disso, eu tinha como responsabilidade garantir o sucesso do processo de Gestão de Vulnerabilidades, mas, a falta de janelas para atualização dos sistemas e a miopia de alguns líderes, não ajudavam. Cartas e mais cartas de riscos foram criadas e poucas assinadas, e os controles mitigatórios ficavam sem esperança, talvez por falha do CSO, em não conseguir engajar os objetivos de infosec com a alta gestão, ou realmente uma mera miopia.
Como o especialista e admirado Marcos Sêmola cita em um livro de sua autoria, sobre Gestão da Segurança da Informação, a parte do iceberg que vemos fora da linha d’água é enganosa, pois o gelo submerso representa aproximadamente 7 vezes mais do que a fração de gelo visível. Assim tem sido, em algumas empresas no mercado brasileiro e fora: o gelo que permanece submerso está escondido dos nossos olhos.
Era Cloud chegou com força
Nesse tempo o uso da tecnologia Cloud despertou e rompeu limites de regras corporativas em virtude da redução de custo, agilidade e escalabilidade, visto que todo mundo começou a migrar para cloud (SaaS, IaaS, PaaS). O enigma do desconhecido revelou-se ao mercado, de modo literal, não irei generalizar o contexto, pois existem boas empresas neste meio com um nível de segurança altíssimo, mas ainda é factível encontrar ambientes de Cloud sem um controle efetivo de segurança. Entretanto, a missão aqui é realmente aplicar o máximo de controles e assegurar que seus dados estão realmente protegidos.
Evidente que a cloud, com sua elasticidade e facilidade, pagando somente por aquilo que é usado, tem sido incluído nos roadmaps do Plano Diretor de TI e Segurança em qualquer empresa, independentemente do seguimento. Atualmente, como ISO na indústria, tenho experimentado o modelo de Gestão de Risco adotado pela organização. A área de Segurança da Informação já está por aqui a muitos anos, diversos modelos de frameworks implantados, tais como CASB, SDLC, COBIT, ITIL, ISO, NIST, OWASP, entre outros, e pelo menos a maior parte dos riscos conhecidos, considerados críticos para a organização, tem sido mapeada e gerida por soluções apropriadas.
Quando nos deparamos com um risco alto, antes de qualquer avanço, é feita uma análise mais profunda, se necessário um threat model é aplicado. O risco é discutido com os diretores de business, tecnologia e, inclusive, com a alta gestão de Segurança da Informação para, só depois de justificativas convincentes, com plano de remediação, tais riscos serem assinados e acompanhados. Fato é, que não podemos garantir 100% de eficiência em todo o ambiente, pois estamos em uma era multiforme, que requer mais atenção, e envolve diversas tecnologias como Cloud, IoT, IA, Machine Learning, BYOD, Blockchain, etc.
Considerando-se que um risco alto em um Cloud Provider é encontrado, dependendo do caso, é reprovado e o business, mesmo contrariado da necessidade do serviço, nem sempre é convincente para prosseguir com o compromisso. Gerir Riscos é um processo contínuo e crucial, se não houver uma abordagem de sobrevivência não haverá sucesso. A ideia em mente é sempre “Se não gerimos os riscos, estamos aptos a desaparecer do mapa”.
Alguns modelos aqui citados podem ajudar a gerir este novo cenário de Cyber Security. Frameworks como: National Cyber Security Centre (NCSC), Continuous Adaptive Risk and Trust Assessment (CARTA) e Cloud Access Security Broker (CASB) são ferramentas a considerar para gerir as ameaças emergentes em um novo ecossistema.
Contudo, foi neste contexto que cheguei à conclusão de que Gestão de Risco talvez não seja para todas as empresas. Se não for tipificado na alma dos executivos a consciência de que a sua sobrevivência no mercado pode ser comprometida, seja por fatores de riscos de reputação, financeiro e, principalmente, riscos relacionados a regulamentações, tais como: GDPR, HIPPA, PCI-DSS, Resolução nº 4.658 do Banco Central, entre outras. Talvez eu esteja enganado, mas, minha percepção me leva a discernir que, a falta de regulamentação em algumas áreas é a grande vilã pela forma míope de enxergar a Gestão de Risco nas empresas. Ou será que é uma breve especulação por minha parte?
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
