A Cyber Risk Quantification (quantificação de risco cibernético ou CRQ) é uma forma de expressar os riscos de Cibersegurança em termos objetivos e empíricos de negócios para informar as decisões estratégicas.
As diretorias e equipes de liderança corporativa estão cada vez mais sendo responsabilizadas por violações de Cibersegurança, perdas de dados, violações de conformidade e outros impactos. Isso fez da Cibersegurança um tópico estratégico de negócios de maneiras que antes não era. A quantificação de risco cibernético (CRQ) é um método para apresentar os riscos de Cibersegurança de uma forma que seja significativa para os tomadores de decisão dos negócios.
A CRQ é um dos pilares principais do gerenciamento de exposição a riscos cibernéticos, ajudando as organizações a determinar o impacto potencial que os riscos de segurança podem causar nos negócios, como perdas financeiras (receita, tempo de inatividade) e/ou perdas competitivas (como participação de mercado). Isso ajuda as organizações a direcionar os investimentos em Cibersegurança para onde são mais necessários e a determinar o valor ou o retorno potencial desses investimentos — justificando os gastos com Cibersegurança.
Um método comum para calcular a CRQ é o modelo FAIR. Desenvolvido pelo FAIR Institute, o nome do modelo significa "Análise de Fatores de Risco da Informação" (Factor Analysis of Information Risk). O FAIR é um padrão internacional aberto para CRQ.
O que são cyber risks?
O National Institute of Standards and Technology (NIST) define cyber risk como ambos (ou qualquer um) dos seguintes:
- “O risco de depender de recursos cibernéticos (ou seja, o risco de depender de um sistema ou elementos de sistema que existem ou que, intermitentemente, têm presença no ciberespaço).”
- “Risco de perda financeira, interrupção operacional ou dano, proveniente da falha das tecnologias digitais empregadas para funções informacionais e/ou operacionais introduzidas em um sistema de manufatura por meio eletrônico, devido ao acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição do sistema de manufatura.”
Ambas as definições se aplicam à necessidade de as organizações adotarem e implementarem uma estrutura proativa de cyber risk exposure management.
Por que o CRQ é importante?
Adotar um modelo de CRQ permite que as organizações integrem decisões de Cibersegurança à estratégia corporativa geral e ao direcionamento estratégico. Isso torna a Cibersegurança parte central do negócio, em vez de uma consideração secundária.
Como o CRQ oferece uma forma para as equipes de Cibersegurança e os líderes de negócios “falarem a mesma linguagem” sobre cyber risk, ele facilita uma melhor comunicação entre as equipes de segurança e de negócios. De forma semelhante, também fornece um mecanismo para demonstrar Compliance aos órgãos reguladores.
Through its intersection with cyber risk exposure management, CRQ supports and enriches an organization’s efforts to understand its total cyber risk exposure and attack surface vulnerabilities, enabling more effective and targeted responses and better use of resources.
Como o CRQ funciona?
O CRQ envolve identificar todas as possíveis ameaças cibernéticas a um negócio, avaliá-las e priorizá-las para determinar quais são mais urgentes e severas, e calcular o possível impacto nos negócios de uma violação, ataque ou perda em cada caso.
Isso se alinha de forma estreita com as duas primeiras fases do Gerenciamento de Risco de Superfície de Ataque: descoberta e avaliação, e abrange o mesmo espectro de riscos digitais, físicos e sociais/humanos, que podem variar desde malware, senhas fracas e configurações incorretas até roubo, ações maliciosas de agentes internos, suscetibilidade a phishing e esquemas de comprometimento de e-mail corporativo (BEC), entre outros.
Descoberta
O primeiro passo é identificar todas as ameaças potenciais que podem prejudicar a organização. Isso requer uma visão completa da superfície de ataque, que é a soma total de todas as formas pelas quais agentes mal-intencionados podem obter acesso não autorizado a dados e sistemas para cometer roubo ou lançar ataques.
Uma plataforma de Cibersegurança com a capacidade de realizar varreduras automáticas e contínuas de toda a superfície de ataque é essencial para esta etapa. Uma plataforma levará em conta todos os ativos, sistemas, aplicações e pontos de acesso conhecidos e desconhecidos — incluindo elementos que, tradicionalmente, não são visíveis para as equipes de segurança, como aplicações de shadow IT, tecnologias de terceiros e tecnologias desatualizadas ou “esquecidas” que foram omitidas de inventários anteriores.
Avaliação
Com uma visão abrangente da superfície de ataque, as equipes de segurança podem então avaliar fragilidades e vulnerabilidades relativas, como configurações incorretas, softwares sem patch, erros de codificação, entre outros. Com base nessas vulnerabilidades, a avaliação também pode determinar que tipos de ataques podem ser usados para explorá-las — agora e no futuro — e quais seriam os objetivos desses ataques (por exemplo, roubo de dados, interrupção dos negócios, extorsão e sequestro, etc.).
Alguns pontos-chave relacionados à avaliação:
- Idealmente, os riscos devem ser avaliados para todas as partes da organização, desde as operações internas até vendas e atendimento ao cliente, a cadeia de suprimentos, recursos em nuvem, pipelines de desenvolvimento de software (DevOps) e muito mais.
- Uma vez concluídas as etapas iniciais da avaliação, as equipes de segurança podem priorizar os riscos e ativos, determinando quais têm maior valor (tanto para a própria organização quanto para possíveis atacantes), quais são mais vulneráveis a ataques e — fator crucial para o CRQ — qual é a probabilidade de um ataque.
- No CRQ, a probabilidade é calculada como uma chance, frequentemente expressa em forma de porcentagem. Por exemplo, o e-mail do CEO em uma empresa de serviços financeiros pode ter 85% de probabilidade de sofrer um ataque de BEC, em comparação com 12% para o gerente da cafeteria na mesma empresa. Essa probabilidade é determinada estatisticamente, utilizando simulações baseadas em modelos (por exemplo, simulações de Monte Carlo), e geralmente é calculada para um período específico, como um trimestre comercial ou ano civil.
Cálculo
Com base na avaliação, as equipes de segurança trabalham com os líderes de negócios para estimar o valor financeiro ou o custo de possíveis ataques cibernéticos. Isso incluirá penalidades por não conformidade com leis e regulamentações; perdas financeiras devido a tempo de inatividade, recuperação, extorsão ou roubo; danos à reputação e perda de posição no mercado; processos judiciais; entre outros. Os fatores específicos variarão de acordo com a organização e o setor. O resultado final é um valor em dinheiro que expressa o risco de negócio de um ataque cibernético.
Como o CRQ é diferente da pontuação de cyber risk?
A quantificação de cyber risk e a pontuação de cyber risk desempenham funções semelhantes. Ambas enquadram os riscos de Cibersegurança em termos objetivos e empíricos para embasar decisões estratégicas.
Enquanto o CRQ calcula o valor financeiro potencial de incidentes cibernéticos — quanto uma violação, invasão ou roubo de dados pode custar a uma empresa —, a pontuação de cyber risk atribui uma nota numérica a cada risco e, a partir disso, gera uma pontuação geral de cyber risk para a organização.
Especificamente, a pontuação de cyber risk envolve um processo de duas etapas: primeiro, o perfilamento do risco — determinando quais são os riscos relevantes e os controles necessários para gerenciá-los — e, em seguida, a atribuição de pontuações a cada risco com base em sua urgência relativa e potencial gravidade.
- A etapa de perfilamento depende de um processo completo de descoberta e avaliação que define a superfície de ataque geral da organização e identifica riscos e vulnerabilidades ao longo dessa superfície. Com base nessas determinações, a organização pode então decidir quais controles precisam ser implementados.
- A etapa de pontuação estima o nível potencial de risco e dano para cada vulnerabilidade identificada, incluindo a probabilidade de essa vulnerabilidade ser explorada, a extensão do impacto, a dificuldade para remediar um ataque bem-sucedido, entre outros fatores.
- As pontuações de cyber risk também devem levar em conta inteligência global de ameaças (seja proprietária ou de código aberto), classificações públicas de segurança e informações sobre o conhecimento dos agentes mal-intencionados a respeito de vulnerabilidades específicas, facilidade de exploração, frequência de explorações e outros dados relevantes.
Existem vários métodos diferentes para calcular pontuações de cyber risk, incluindo uma estrutura proposta pelo NIST e o modelo FAIR mencionado anteriormente.
Tanto a pontuação de cyber risk quanto o CRQ apoiam um bom cyber risk exposure management, e ambos envolvem etapas semelhantes de descoberta e avaliação para identificar, avaliar e priorizar riscos de forma proativa.
Alternativas ao CRQ
O CRQ é relativamente recente. Muitas organizações ainda seguem modelos de gerenciamento de risco baseados em Compliance, como o NIST Cybersecurity Framework (CSF). Com uma abordagem baseada em Compliance, o foco está em manter a conformidade com os requisitos regulatórios. As ferramentas de CRQ, por outro lado, focam em atribuir valores numéricos aos cyber risks. Combinar as duas abordagens é o mais provável de gerar os melhores resultados em Cibersegurança — no contexto de uma estratégia geral de cyber risk exposure management fundamentada em um gerenciamento vigilante da superfície de ataque.
Como podemos implementar o CRQ?
A quantificação de cyber risk é um componente-chave do cyber risk exposure management como um todo. Implementar o CRQ requer boa colaboração e coordenação entre as equipes de Cibersegurança da empresa e os líderes de negócios corporativos, incluindo expectativas claras, pontos de contato regulares, comunicação aberta e processos bem definidos.
As organizações precisarão escolher um modelo de CRQ (seja o FAIR ou alguma outra abordagem) e adotar ferramentas de CRQ para dar suporte aos tipos de simulações e cálculos necessários. Essas ferramentas devem ser integradas a uma plataforma de Cibersegurança completa que possa fornecer todo o contexto necessário para tomar decisões informadas sobre os cyber risks e sua prioridade relativa.
Especificamente, isso significa uma plataforma capaz de abordar todas as fases do cyber risk exposure management: descoberta, avaliação e mitigação. A plataforma deve incluir tecnologias de operações de segurança, como gerenciamento de informações e eventos de segurança (SIEM), detecção e resposta estendida (EDR) e/ou detecção e resposta estendida (XDR), para uma mitigação de ameaças rápida e eficaz. O XDR também é essencial como fonte de dados, análises e integrações.
Para minimizar o risco a longo prazo e fortalecer a postura de segurança da organização, as estratégias de Zero Trust também são um complemento importante ao CRQ. O Zero Trust aplica o princípio do menor privilégio a praticamente todos os aspectos do ambiente de TI. Como o nome sugere, a confiança nunca é presumida, e as permissões são rigidamente controladas para que mesmo os usuários autorizados tenham acesso aos recursos apenas onde e quando realmente precisarem deles.
Onde posso obter ajuda com o CRQ?
O Trend Vision One™ pode apoiar sua jornada na implementação de práticas de CRQ com sua solução de Cyber Risk Exposure Management — permitindo que as organizações quantifiquem e comuniquem o cyber risk em termos de negócios com facilidade.
Isso é possível graças à abordagem revolucionária do Trend Vision One™, que combina recursos-chave — como External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Vulnerability Management e Security Posture Management — abrangendo nuvem, dados, identidade, APIs, IA, Compliance e aplicações SaaS em uma única solução poderosa e fácil de usar. Isso capacita você a proteger seu negócio de forma proativa, com controle, clareza e confiança.
Saiba mais sobre como o Cyber Risk Exposure Management pode ajudar você com a quantificação de cyber risk.