GRC 101: What is Cyber Risk?

BY admin
|

o risco cibernético é o mais rápido crescimento do risco empresarial e da prioridade organizacional hoje em dia. De acordo com a Pesquisa Global de percepção de Riscos de 2019, o risco cibernético foi classificado como uma prioridade top 5 por 79% das organizações globais.

o crescimento do risco cibernético está em grande parte ligado ao uso crescente da tecnologia como um driver de valor. Iniciativas estratégicas-como terceirização, uso de fornecedores de terceiros, migração de nuvem, tecnologias móveis e acesso remoto—são usadas para impulsionar o crescimento e melhorar a eficiência, mas também para aumentar a exposição ao risco cibernético. O risco cibernético evoluiu de um problema tecnológico para um problema organizacional. Resumindo, o risco cibernético é problema de todos.

um fator de composição aqui é, ao longo das últimas duas décadas, o cibercrime tem crescido exponencialmente. De acordo com o IC3, o mecanismo de comunicação de crimes cibernéticos do FBI, os danos monetários do crime cibernético relatado totalizaram US $3.5 bilhões em 2019, enquanto os empreendimentos de segurança cibernética projetam que os custos globais da cibercriminalidade dobrarão para US $6 trilhões em 2021, acima de US $ 3 trilhões em 2015.

definição de Risco Cibernético

risco cibernético, ou risco de segurança cibernética, é a exposição potencial a perdas ou danos decorrentes dos sistemas de informação ou comunicação de uma organização. Ataques cibernéticos, ou violações de dados, são dois exemplos frequentemente relatados de Risco Cibernético. No entanto, o risco de cibersegurança estende-se além de danos e destruição de dados ou perda monetária e abrange o roubo de propriedade intelectual, perdas de produtividade e danos reputacionais.

exemplos de Risco Cibernético

risco cibernético pode ser enfrentado por qualquer organização e pode vir de dentro da organização (risco interno) ou de partes externas (risco externo). Os riscos internos e externos podem ser maliciosos ou não intencionais.

os riscos internos decorrem das acções dos trabalhadores no interior da organização. Um exemplo de Risco Cibernético interno malicioso seria a sabotagem de sistemas ou o roubo de dados por um empregado descontente. Um exemplo de risco interno não intencional seria um empregado que não conseguiu instalar um patch de segurança em software desactualizado.

os riscos externos provêm de fora da organização e das suas partes interessadas. Um ataque externo e malicioso pode ser uma violação de dados por um terceiro, um ataque de negação de serviço, ou a instalação de um vírus. Um ataque externo não intencional geralmente decorre de parceiros ou terceiros que estão fora ainda relacionados com a organização – um fornecedor cujos sistemas desligados resultam em uma perturbação operacional para sua própria organização.

impacto do Risco Cibernético

de acordo com a Deloitte Advisory Cyber Risk Services, “O Risco Cibernético é uma questão que existe na intersecção do risco empresarial, regulamentação e Tecnologia.”Em seu” Future of Cyber Survey ” de 2019,
Deloitte descobriu que o impacto de incidentes de segurança variava de custos monetários reais, incluindo perdas financeiras devido a interrupções operacionais e multas regulamentares, A custos intangíveis, incluindo a perda de confiança do cliente, perda de reputação ou uma mudança de liderança.

os riscos de cibersegurança podem resultar em perda quantitativa e impacto qualitativo. Os custos realizados podem incluir a perda de receita devido a interrupções na produtividade ou operações, redução de incidentes e despesas de remediação, honorários legais ou até mesmo multas. Os impactos menos tangíveis de incidentes de cibersegurança, que são difíceis de quantificar e geralmente levam mais tempo para retificar, incluem perda de boa vontade, diminuição da reputação da marca, ou uma posição de mercado enfraquecida.

gerir o Risco Cibernético

o Risco Cibernético tem o potencial de afectar todos os aspectos de uma organização, incluindo os seus clientes, empregados, parceiros, fornecedores, activos e reputação.Como tal, um programa eficaz de gestão de Risco Cibernético envolve toda a organização. Embora a informática ou Infosec possa, em última análise, possuir a gestão de riscos de cibersegurança, o risco cibernético está disperso por toda a organização, exigindo uma abordagem integrada e colaboração entre divisões para gerir e mitigar a exposição de forma eficaz.

abaixo estão 4 passos-chave que a sua organização pode tomar para implementar uma estratégia robusta de gestão de Risco Cibernético.

  1. compreenda o seu perfil de risco: compreender o seu perfil de risco e a sua potencial exposição requer uma avaliação da ameaça a nível da empresa.
    • identificar os riscos críticos das empresas para determinar as aplicações, sistemas, bases de dados e processos sujeitos a riscos cibernéticos. Considere a variedade de ameaças externas e internas, desde erro involuntário do usuário ao acesso de terceiros a ataques maliciosos.
    • realizar avaliações de risco com todas as partes interessadas para avaliar a probabilidade e o impacto potencial da exposição ao risco cibernético, incluindo efeitos transversais e secundários e dependências tecnológicas. Considere a exposição de terceiros, uma vez que eles se tornaram cada vez mais vetores para incidentes cibernéticos, e o risco colocado pelo perímetro de tecnologia em expansão devido ao trabalho a partir de requisitos domésticos.
    • quantificar os riscos, incluindo o potencial impacto financeiro, operacional, reputacional e de Conformidade de um incidente de Risco Cibernético. Um quadro de pontuação de risco pode ajudar a fornecer uma classificação mais holística das ameaças.
  2. definir uma estratégia firme a nível mundial: Estabelecer um quadro estratégico firme para a gestão de Riscos Cibernéticos
    • priorizar os riscos, empregando um quadro de medição de riscos compartilhado e sistemas de relatórios para efetivamente priorizar os riscos em toda a organização e permitir a alocação de recursos informados.
    • considere padrões de risco específicos da indústria e incorpore quaisquer requisitos de conformidade específicos em sua prática de gestão de Risco Cibernético.
    • definir e comunicar uma estratégia de TI e de gestão de Riscos Cibernéticos a nível de toda a empresa. A infra-estrutura tecnológica e o uso de aplicações são fundamentais em todas as organizações. Portanto, a exposição ao risco cibernético pode ocorrer em qualquer divisão, tornando-a uma prioridade organizacional, ao invés de uma TI.
  3. investir em infra-estrutura de gestão de Riscos Cibernéticos
    • avaliar os requisitos do sistema para compreender a origem das ameaças cibernéticas organizacionais e fornecer um guia para os tipos de sistemas necessários. Uma organização distribuída e baseada em nuvem terá necessidades diferentes de uma organização física intensiva. Considere como sua empresa atualmente opera para garantir que uma plataforma GRC irá acomodar necessidades em evolução.
    • investimento potencial em software GRC ou outras ferramentas de gestão de riscos cibernéticos também devem considerar os requisitos de comunicação de riscos e gestão de incidentes, fluxos de trabalho, facilidade de Utilização, flexibilidade e capacidade de expansão futura.
  4. estabelecer um processo dinâmico de gestão de Riscos Cibernéticos
    • estabelecer uma supervisão robusta, mantendo um inventário atualizado das potenciais ameaças e uma quantificação dinâmica do impacto potencial e dos custos de mitigação de incidentes cibernéticos.Comunicar com terceiros para garantir que os seus protocolos de segurança estejam alinhados com as normas e práticas organizacionais.
    • Invest in Training-With rapid evolution of technology and related cybersegurança risks,cyber risk management is not a static, marque a solução. As organizações podem gastar grandes somas em infraestrutura De Segurança de última geração, mas um programa de gerenciamento de Risco Cibernético verdadeiramente eficaz requer treinamento efetivo das partes interessadas.

a solução de gerenciamento de risco de TI da LogicGate

à medida que a escala e o escopo do risco cibernético explode, como pode sua organização avaliar com precisão, quantificar, gerenciar e mitigar o risco de segurança cibernética? A gestão de riscos da cibersegurança requer uma plataforma robusta para permitir o envolvimento de todas as empresas e a gestão eficaz dos riscos.O estabelecimento de uma cultura de consciência do risco cibernético é mais fácil com uma interface personalizada e flexível. O Software de gerenciamento de risco de segurança da LogicGate fornece as ferramentas compartilhadas que você precisa para comunicar a estrutura de risco de sua empresa, salvaguardar seus ativos de informação e cumprir com os padrões da indústria, para que você possa manter a reputação de sua organização e proteger sua empresa, funcionários, clientes e clientes.