Esses fatores de risco podem não aparecer em um relatório oficial de avaliação de riscos, mas todo profissional de segurança deveria considerá-los.

Os fatores tradicionais de gerenciamento de riscos que todos conhecemos incluem o processo sensato de categorizar ameaças e riscos potenciais, avaliar a probabilidade de sua ocorrência e estimar os danos que resultariam deles, se não fossem atenuados. Os custos das possíveis defesas e controles são dimensionados em comparação com os possíveis danos. De um ponto de vista estritamente racional, as defesas normalmente são implementadas se tiverem um custo econômico e financeiro mais baixo do que simplesmente permitir que os riscos e ameaças aconteçam. Essa decisão normalmente é baseada em palpites e pode ter um efeito muito danoso para uma organização.

Todos nós nos preocupamos com a dificuldade de calcular a probabilidade de ocorrência de um evento e seus possíveis danos. A avaliação desses fatores sempre foi mais baseada em fatores subjetivos do que em uma tabela rígida para cálculo. Como alguém pode estimar as chances de que um ataque sofisticado de ransomware, DDoS ou a partir de uma agente interno ocorra em sua organização em um determinado ano ou quais ativos ele poderá acessar com precisão? Alguém pode provar que a probabilidade é de 20% contra 60% em um determinado ano?

Todos nós lutamos com esses grandes problemas de estimativa, mas para trazer um pouco mais de complexidade a essa avaliação, há muitos outros fatores que afetam o gerenciamento de riscos. Aqui estão dez temas que raramente são discutidos abertamente.

1. Lutar contra o risco de “isso pode acontecer”

Toda avaliação de risco é uma luta entre algo que pode acontecer ou não fazer nada, principalmente se isso nunca aconteceu antes. Muitas pessoas acreditam que não fazer nada não apresenta custos, e quem se esforça para fazer algo pode ser visto como estar desperdiçando dinheiro. “Por que desperdiçar o dinheiro? Isso nunca vai acontecer!”

Poucas pessoas têm problemas por seguir a rotina e fazer o que sempre foi feito. É muito mais difícil ter a iniciativa para ser proativo, do que esperar o dano acontecer para tentar resolvê-lo, especialmente quando estão envolvidas grandes somas de dinheiro.

2. Risco político

Assumir proativamente os riscos leva ao próximo componente desconhecido: risco político. Toda vez que os profissionais proativos querem defender a empresa de algo que nunca aconteceu antes, eles perdem um pouco do seu capital político. A única situação em que eles vencem é quando a coisa sobre a qual estão sendo proativos acontece. Se eles são bem-sucedidos e conseguem convencer a empresa a colocar controles e defesas para que o mal nunca aconteça, a situação provavelmente nunca acontecerá.

É uma vitória que não traz méritos. Quando conseguem proteger adequadamente a empresa, ninguém reconhece o valor de estar seguro e o esforço de negociação necessário para conseguir tanto investimento para estabelecer mais controles. Cada vez que a coisa com a qual se preocupam nunca acontece, os profissionais de segurança são vistos como geradores de custos. Nesse contexto, eles perdem capital político.

Qualquer pessoa que tenha participado de uma discussão sobre gerenciamento de riscos certamente não deseja enfrentar muitas delas. Cada um queima um pouco (ou muito) de sua reputação. Então, os profissionais proativos calculam quais batalhas querem travar. Com o tempo, os mais experientes escolhem menos batalhas. O instinto de sobrevivência é mais forte. Muitos deles estão apenas esperando o dia em que algo de realmente ruim aconteça: não lutam mais contra os argumentos contrários e não querem se tornar bodes expiatórios.

3. “Dizemos que estamos protegidos, mas não estamos na realidade”

Muitos dos controles e defesas que afirmamos ter implementado não são 100% eficazes. Muitas pessoas envolvidas no processo sabem disso. Os exemplos mais comuns são os patches e backups. A maioria das empresas afirma que instalou de 99% a 100% dos patches de atualização dos dispositivos. Na verdade, é difícil encontrar um dispositivo com os patches completamente atualizados, em qualquer empresa.

O mesmo vale para os backups. Os recentes ataques de ransomware revelaram que a maioria das organizações não faz bons backups. Apesar de grande parte das organizações e seus auditores verificarem durante anos que os backups críticos são feitos e testados regularmente, basta um grande golpe de ransomware para mostrar o quão radicalmente diferente é a verdade.

Todos que atuam com gestão de riscos sabem disso. Como uma pessoa encarregada dos backups pode testar tudo, quando não tem tempo e recursos para fazer isso? Para testar se um backup e uma restauração realmente funcionam, é preciso fazer uma restauração de teste de muitos sistemas diferentes, todos de uma vez, em um ambiente separado que teria que funcionar como o ambiente de produção (mesmo que todos os recursos estejam direcionando para o ambiente original). Isso exige um grande comprometimento de pessoas, tempo e outros recursos, e a maioria das organizações não disponibiliza isso.

4. Risco institucionalizado: “Sempre é feito dessa maneira”

É difícil lutar contra o argumento “é assim que sempre fazemos”, especialmente quando nenhum ataque às vulnerabilidades da organização ocorre há décadas. Por exemplo, é comum encontrar organizações que permitem que as senhas tenham seis caracteres e nunca sejam alteradas. Às vezes, é assim porque as senhas da rede de PCs precisam ser iguais às senhas conectadas a algum sistema mais antigo do qual a empresa depende. Todos sabem que senhas de seis caracteres que não mudam não são uma boa ideia, mas nunca causaram problemas. Então, por que mudar?

5. Risco de interrupção operacional

Todo controle e defesa que você implementa pode causar um problema operacional. Pode até atrapalhar as operações. É preciso se preocupar com a possível interrupção operacional que cada controle ou defesa a ser implementado poderá causar.

Quanto mais radical for o controle, maior a probabilidade de mitigar todos os riscos da ameaça que o controle combaterá e maior o nível de suspeita que você deve ter sobre a possibilidade de uma interrupção operacional.

6. Risco de insatisfação dos usuários

Nenhum responsável por risco quer irritar os usuários. Se quiser fazer isso, implemente qualquer controle que restrinja o acesso à Internet e o que eles podem fazer em seus computadores. Os usuários finais são responsáveis por um elevado percentual de todas as violações de dados (por meio de phishing e engenharia social). Não é possível confiar apenas no treinamento de segurança e nos instintos dos usuários finais para proteger a organização. É preciso negociar as restrições e os acessos com habilidade.

7. Risco de insatisfação dos clientes

Ninguém deseja implementar uma política ou procedimento que leve à perda de clientes. Clientes descontentes tornam-se clientes felizes de outras empresas. Qualquer solução que possa prejudicar a experiência do cliente deve ter uma profunda análise dos custos e benefícios de sua implantação, no que se refere à satisfação dos clientes.

8. Riscos das tecnologias mais avançadas

A maioria das pessoas não tentará uma solução inovadora até que um grupo de pioneiros a adote. Não é muito cômodo estar de frente para o desconhecido. Os que adotam cedo uma tecnologia inovadora podem ser recompensados por chegarem cedo e alcançar vantagens competitivas sobre aqueles que os seguirão.

Entretanto, como toda novidade, é preciso conhecer o mercado, o estado da arte da tecnologia e avaliar a confiabilidade e a experiência do fornecedor da solução.

9. Risco de chegar atrasado

Quase sempre estamos enfrentando algum risco que já aconteceu com outras pessoas e empresas (ou com a sua própria organização). Você espera para ver quais truques os hackers têm na manga e cria defesas e controles para combater esses novos riscos. Ter que esperar primeiro para ver o que os hackers estão fazendo gera um atraso entre o momento em que o novo comportamento malicioso é detectado e as ações de avaliação da nova técnica, definição de novos controles e a execução da defesa contra o ataque. No jogo de esperar para ver, você sempre estará atrasado.

10. “Não dá para fazer tudo certo”

Segundo a revista digital CSO Online (www.csoonline.com), no ano de 2019 foram anunciadas mais de 16.500 novas vulnerabilidades públicas. Mais de 100 milhões de programas de malware exclusivos eram conhecidos. Todo tipo de hacker, de financiados por estados-nação a ladrões financeiros e adolescentes que conhecem como desenvolver scripts, está tentando invadir sua organização. É muito para se preocupar. Você não tem como se defender de tudo, a menos que tenha acesso a uma quantidade ilimitada de dinheiro, tempo e recursos. O melhor que é possível fazer é avaliar quais são os riscos mais importantes e ter uma plataforma moderna e robusta de segurança cibernética para a proteção.

Esses componentes da avaliação de riscos não são novidade. Eles sempre existiram e devem ser considerados quando avaliamos riscos e pensamos em controles. Tudo aponta para o fato de que a avaliação e o gerenciamento de riscos são muito mais difíceis do que parecem, especialmente no papel ou na teoria formal de um livro.

Quando consideramos todas as coisas que um profissional em segurança de tecnologia da informação precisa se preocupar e avaliar, é incrível o fato que acertamos na maior parte do tempo.

Essa é uma luta que precisamos enfrentar diariamente. Conte com nossa experiência e conhecimento para ajudar a encontrar as melhores soluções para sua empresa.