Negócios digitais requerem gerenciamento de risco integrado

Por Thais Sogayar
13/08/2019 - Em 2019, os riscos organizacionais estão se transformando em surpresas operacionais significativas, e a frequência só aumentará à medida que os requisitos de negócios digitais crescem. Nesse cenário, o Gartner avalia que os programas de gerenciamento de risco devem abordar cada vez mais uma ampla variedade de ameaças de TI associadas aos novos negócios digitais.

De acordo com as mais recentes pesquisas do Gartner, não há mais espaço para programas de gerenciamento de risco separados em silos. Em vez disso, os líderes de segurança devem se concentrar na criação de programas integrados de gerenciamento de riscos.

Augusto de Barros, Wam Voster e Bart Willemsen discutem as tendências e prioridades da área de segurança de TI na Conferência Gartner Segurança e Gestão de Risco 2019, em São Paulo

Segundo Wam Voster, Analista Sênior do Gartner, a automação contínua e estrutural das iniciativas de segurança e gestão de riscos é a condição para permitir que novas mentalidades, práticas e tecnologias entrem em convergência e, com isso, desbloqueiem novos recursos nas organizações. Atualmente, as áreas de controle de identidades, dados e desenvolvimentos de novos produtos/serviços são as três demandas mais críticas para que a empresa consiga utilizar a automação de forma efetiva nas ações de segurança e risco.

Augusto Barros, Vice-Presidente e Analista do Gartner, enfatizou o cenário de mudança dos profissionais de segurança e risco. “As demandas diárias nos obrigam a nos enterrar na tecnologia, quando sabemos que temos que nos conectar melhor com os resultados de negócios digitais que a tecnologia suporta”, afirma o analista. "Assim como a automação está no centro das transformações digitais de nossas empresas, a automação deve estar agora no centro de nossas capacidades de segurança e de gestão de risco".

A automação está ao nosso redor

A automação já é uma realidade, e está começando a impactar o cenário de segurança e risco de duas maneiras: Como um facilitador para a própria função de segurança e risco; e implementando novas fronteiras de segurança que precisam ser reconhecidas e compreendidas

“A automação segue uma trajetória de alta sofisticação e complexidade, podendo usar várias técnicas, independentes ou combinadas”, diz Bart Willemsen, Vice-Presidente e Analista do Gartner. “Por exemplo, a automação de processos robóticos atualmente funciona melhor em ambientes centrados em tarefas, mas a automação de processos está evoluindo para bots cada vez mais poderosos e, eventualmente, para a orquestração de processos autônomos”.

Equilibrando Tecnologias Emergentes e Pessoas

“Automação é apenas o começo. As tecnologias emergentes mudarão tudo e impactarão a segurança e o risco diretamente”, afirma Willemsen. As demandas impostas por essas tecnologias emergentes e a transformação digital estão trazendo novos desafios para a função de líder da área de segurança, alterando a forma como as organizações esperam que a proteção seja entregue.

“Devemos equilibrar o risco e confiar de forma adaptável para navegar no processo de automação para a geração de valor. Esses riscos criarão uma tensão constante entre aqueles que geram resultados de negócios e que dependem dessas tecnologias; e aqueles que têm a tarefa de protegê-los”, diz o analista. “Para habilitar a criação de valor e orquestrar e defender este valor, nosso trabalho é reconhecer e gerenciar essa tensão, encontrando o lugar certo no processo de automação para cada situação.”

Áreas críticas de missão na automação

As três áreas de missão crítica nas empresas atuais são a automação em identidade, dados e desenvolvimento de novos produtos ou serviços:
- A identidade é o eixo central de todos os outros controles de segurança, especialmente à medida que as empresas se movimentam cada vez mais para os ambientes em Nuvem. Gestão dos processos de identidade devem sempre permanecer dentro do controle das organizações, seja com serviços humanos ou de máquinas.
- Os dados são o que as organizações dependem para praticamente todas as transações. Essas informações precisam ser compartilhadas, ao mesmo tempo, em que devem ser protegidas.
- Novos produtos e serviços desenvolvidos com base em tecnologias emergentes ganham o status de uma fortaleza, que exigem que as organizações se adaptem e se esforcem para protegê-las.

O que é gerenciamento integrado de riscos?

Muitas organizações são boas no gerenciamento de riscos específicos de um domínio, mas lutam para harmonizar os três pilares de um programa bem-sucedido de segurança e gerenciamento de riscos - uma estrutura forte, um conjunto de métricas sólido e sistemas flexíveis e integrados. A gestão integrada de riscos pode remediar esse desafio, aprimorando a tomada de decisões e a performance por meio de uma visão unificada de como uma organização gerencia todo o seu conjunto de ameaças. É um grupo de práticas e processos apoiado por uma cultura sensível ao risco e por tecnologias facilitadoras.

O gerenciamento integrado de riscos utiliza uma análise holística dos fatores de ameaças internas e externas. Organizações bem-sucedidas projetam uma estrutura que conecta perfeitamente os riscos nos diversos níveis estratégicos, operacionais e de TI. “Para entender o escopo total do risco, as organizações precisam ter uma visão abrangente de todas as unidades de negócios e funções de gerenciamento de risco, assim como conhecer seus principais parceiros de negócios, fornecedores e entidades terceirizadas”, explica Wheeler.

Líderes em gerenciamento de riscos e de segurança devem aproveitar a automação contínua para criar valor para suas organizações

Por que o gerenciamento integrado de riscos é importante?

O mercado de soluções de gerenciamento de risco integrado (incluindo serviços de consultoria e implementação) crescerá para US$ 8 bilhões até 2021. As organizações digitais estão priorizando a necessidade de programas de gerenciamento de risco. “Líderes de segurança e gestão de risco precisam evoluir seu risco pensando em um contexto global”, diz o analista. "A implementação de uma solução integrada de gerenciamento de riscos para atender às demandas da transformação digital impulsionará sua organização de maneira segura e lucrativa".
 
Por onde iniciar o gerenciamento integrado de riscos?

O gerenciamento integrado de riscos pode ser comparado ao guia de uma viagem por uma estrada: seu GPS mapeia a rota e mostra o progresso, enquanto o veículo permite que você chegue ao seu destino. Da mesma forma, uma estrutura integrada de gerenciamento de riscos mapeia o risco de uma organização, as métricas medem o progresso e os sistemas orientam essa organização a atingir suas metas. Os líderes de segurança e gestão de risco podem adotar essas quatro etapas para desenvolver um programa integrado de gerenciamento de riscos para preencher a lacuna entre risco corporativo, risco de TI / segurança cibernética e risco digital para uma visão mais geral do risco operacional:

- Desenvolver uma estrutura eficaz que seja exclusiva do perfil de risco da organização.
- Empregar métricas para identificar como o risco influencia o comportamento e a capacidade dos indivíduos para atingir as metas da organização.
- Usar uma metodologia de camadas para projetar, implementar e integrar sistemas de gerenciamento de risco.
- Aumentar a maturidade das disciplinas de gerenciamento de risco de uma organização para reduzir os riscos futuros de negócios digitais.

Líderes de segurança e gestão de risco devem enfrentar agora as ameaças dos negócios digitais do futuro

À medida que os riscos de segurança cibernética aumentam nos negócios digitais, mais as organizações precisarão lutar para atrair, reter e, mais criticamente, desenvolver talentos de segurança. Para antecipar e resolver esse desafio, o Gartner, Inc., líder mundial em pesquisa e aconselhamento para empresas, destaca que os líderes de segurança e gestão de risco responsáveis ​​pela segurança da informação devem acelerar o desenvolvimento das práticas e culturas organizacionais para acompanhar o ritmo de evolução da era dos negócios digitais.

Nesse cenário, pesquisas do Gartner preveem três grandes tendências para que os líderes corporativos reforcem seus resultados e antecipem-se aos desafios do futuro. São eles:

1- Até 2022, 40% dos programas de gerenciamento de continuidade de negócios (BCM - de Business Continuity Management, em inglês) serão integrados à estrutura de gestão de risco de negócios digitais, em vez de existirem como práticas separadas.

2- Até 2022, 30% das grandes empresas construirão um programa de gerenciamento de habilidades de segurança, incluindo recrutamento experimental e práticas de desenvolvimento de talentos.

3- Até 2022, 75% das organizações que terceirizam ferramentas de e-mail e colaboração não atingirão seus objetivos críticos de recuperação durante uma interrupção do fornecedor.

Como evitar vazamentos de dados em processos de verificação de identidades

Com a ascensão de novas soluções digitais, especialmente as ferramentas inteligentes e baseadas em Nuvem, os dados se transformaram no principal ativo estratégico para o futuro das companhias. Por outro lado, à medida que a digitalização dos negócios avança, acompanhamos também a escalada no número de ameaças às empresas, com uma série de episódios de violação à privacidade de dados pessoais ocorrendo ao redor do planeta. Por isso é essencial que as organizações devem priorizar ações de segurança como um dos pilares dos planos para alavancar as tecnologias avançadas.

Como os dados roubados podem ser usados?

- Podem ser vendidos e revendidos de forma clandestina;
- Para atualizar registros de identidade já roubados anteriormente, que estão cada vez mais abundantes, mas que geralmente estão desatualizados em termos de números de telefone e endereços;
- Para assumir contas existentes, incluindo contas bancárias, contas de corretagem, contas de serviços de telefone (uma ocorrência comum nos dias de hoje, por exemplo, com titulares de carteira de Bitcoin) e contas de aposentadoria. "Esses dados comprometidos de informações de identificação pessoal são usados ​​por centrais de atendimento e sistemas on-line para verificar identidades durante a realização de transações de alto risco, como movimentar dinheiro ou alterar o número de telefone de uma conta", diz Litan. "Então, armados com dados roubados e atualizados, os criminosos podem mais facilmente imitar suas vítimas-alvo para entrar em suas contas";
- Serem comprados e usados por nações adversárias, que têm seus próprios planos para perturbar ou roubar a sociedade de um determinado local. As metas podem variar de questões críticas, como interromper processos políticos ou roubar propriedades intelectuais valiosas utilizadas para fabricar sistemas relacionados a armas (por exemplo, sistemas de defesa antimísseis) a missões mais inócuas, como o roubo de bens de consumo, plantas, bolsas de luxo ou perfumes.

"É imperativo que a organização mantenha o controle interno e a governança sobre todos os aplicativos usados ​​na entrega de produtos e serviços", diz Earl Perkins, VP Analyst do Gartner. "Também é crucial entender os compromissos de recuperação do fornecedor e os protocolos de comunicação para interrupções, a fim de garantir que atendam aos requisitos de recuperação".

Deixar seu comentário

0
termos e condições.
  • Nenhum comentário encontrado

newsletter buton