Cyber Risk Scoring (ou pontuação de risco cibernético) é uma forma de quantificar o risco de Cibersegurança para que as organizações possam tomar decisões objetivas e empíricas sobre como defender e reduzir sua superfície de ataque.
A pontuação de risco cibernético é um componente importante de qualquer estrutura de gerenciamento de risco cibernético. Ela possibilita uma compreensão compartilhada e objetiva dos riscos relativos associados a ativos de TI e tecnologias digitais, permitindo que sejam feitas escolhas práticas sobre quais devem ser tratados com maior prioridade.
Acompanhar as pontuações de cyber risk ao longo do tempo permite que as organizações façam benchmarks e monitorem sua prontidão geral em Cibersegurança e a força de sua postura de segurança.
Cyber risk scoring se aplica a toda a superfície de ataque, incluindo ativos internos e externos de TI, dados, sistemas e recursos.
Semelhante à cyber risk quantification (CRQ), a pontuação de cyber risk está intimamente relacionada às duas primeiras etapas dogerenciamento da superfície de ataque: descoberta e avaliação.
Especificamente, envolve um processo de duas etapas: o perfilamento do risco — determinando quais são os riscos relevantes e os controles necessários para gerenciá-los — e, em seguida, a atribuição de pontuações a cada risco com base em sua urgência relativa e potencial gravidade.
O que são risco cibernéticos?
O National Institute of Standards and Technology define risco cibernético como ambos (ou qualquer um) dos seguintes:
- “O risco de depender de recursos cibernéticos (ou seja, o risco de depender de um sistema ou elementos de sistema que existem ou que, intermitentemente, têm presença no ciberespaço).”
- “Risco de perda financeira, interrupção operacional ou dano, proveniente da falha das tecnologias digitais empregadas para funções informacionais e/ou operacionais introduzidas em um sistema de manufatura por meio eletrônico, devido ao acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição do sistema de manufatura.”
Ambas as definições se aplicam à necessidade de as organizações adotarem e implementarem uma estrutura proativa de cyber risk exposure management.
Por que a pontuação de risco cibernético é importante?
Como um componente do cyber risk exposure management, a pontuação de risco cibernético fornece clareza mensurável e objetiva sobre quais riscos representam a maior ameaça para uma organização. Isso ajuda a informar ações e investimentos em Cibersegurança.
Assim como o CRQ, a pontuação de cyber risk fornece uma maneira de falar sobre risco que é compreensível tanto para profissionais de segurança quanto para líderes de negócios. Dessa forma, é um suporte importante para o monitoramento e relatório de desempenho ambiental, social e de governança (ESG) e/ou responsabilidade social corporativa (CSR) das organizações.
Cada vez mais, as pontuações de cyber risk estão sendo usadas como um fator para determinar a elegibilidade de uma organização para seguro cibernético. Elas também podem ser usadas para avaliar fusões e aquisições prospectivas, no gerenciamento de segurança da cadeia de suprimentos e em outras áreas das operações comerciais.
Cyber Risk Scoring vs. CRQ?
A pontuação de cyber risk e o CRQ desempenham funções semelhantes — simplificadamente, um é qualitativo e o outro é quantitativo. Ambos enquadram os riscos de Cibersegurança em termos objetivos e empíricos para embasar decisões estratégicas.
Enquanto a pontuação de cyber risk atribui uma pontuação numérica a cada risco e, a partir disso, calcula uma pontuação geral de cyber risk para a organização, o CRQ calcula o valor potencial em dólares de incidentes cibernéticos — quanto uma violação, invasão ou roubo de dados pode custar a um negócio. Esse custo pode incluir perdas financeiras (receita, tempo de inatividade, multas, processos judiciais), perdas competitivas (como participação de mercado), danos à reputação, perda de clientes e outros danos.
O CRQ calcula a probabilidade de um ataque como uma chance, frequentemente expressa em forma de porcentagem. Por exemplo, o e-mail do CEO em uma empresa de serviços financeiros pode ter 85% de probabilidade de um ataque de BEC, em comparação com 12% para o gerente da cafeteria na mesma empresa. Essa probabilidade é determinada estatisticamente, utilizando simulações baseadas em modelos (por exemplo, simulações de Monte Carlo), e geralmente é calculada para um período específico, como um trimestre comercial ou ano civil.
Tanto a pontuação de cyber risk quanto o CRQ apoiam um bom gerenciamento de cyber risk, e ambos envolvem etapas semelhantes de descoberta e avaliação para identificar, avaliar e priorizar riscos.
Como funciona a pontuação de cyber risk?
Como mencionado, há duas partes principais na pontuação de cyber risk:
- Perfilamento de risco
- Perfilamento de risco
A etapa de perfilamento depende de um processo completo de descoberta e avaliação que define a superfície de ataque geral da organização e identifica riscos e vulnerabilidades ao longo dessa superfície. Com base nessas determinações, a organização pode então decidir quais controles precisam ser implementados.
A etapa de pontuação estima o nível potencial de risco e dano para cada vulnerabilidade identificada, incluindo a probabilidade de essa vulnerabilidade ser explorada, a extensão do impacto, a dificuldade para remediar um ataque bem-sucedido e outros fatores.
As pontuações de risco cibernético também devem levar em conta inteligência global de ameaças (seja proprietária ou de código aberto), classificações públicas de segurança e informações sobre o conhecimento dos agentes mal-intencionados a respeito de vulnerabilidades específicas, facilidade de exploração, frequência de explorações e outros dados relevantes.
As pontuações individuais de risco cibernético são então somadas para chegar a uma pontuação geral de risco cibernético para a organização.
Como a pontuação de cyber risk contribui para o gerenciamento da superfície de ataque?
O gerenciamento da superfície de ataque (ASM) é uma abordagem de Cibersegurança que visa ajudar as organizações a defender seus dados e sistemas, tornando as ameaças mais visíveis. Trata-se de saber onde os riscos existem, entender sua gravidade relativa e tomar medidas para fechar lacunas de segurança relacionadas a pessoas, processos e tecnologia.
Assim, a pontuação de risco cibernético está intimamente relacionada às duas primeiras etapas do ASM: descoberta e avaliação.
O processo de descoberta do ASM oferece visibilidade sobre todos os riscos cibernéticos potenciais que uma organização enfrenta. Esse contexto é necessário para uma pontuação de cyber risk precisa e completa, pois fornece uma visão completa da superfície de ataque da empresa.
A pontuação de cyber risk contribui para a fase de avaliação do ASM, fornecendo uma maneira empírica e objetiva de indicar quais riscos e vulnerabilidades são mais críticos e quais podem ser tratados em um momento posterior.
A pontuação de cyber risk é um processo contínuo. À medida que as pontuações são atualizadas regularmente, as equipes de Cibersegurança e os líderes de negócios podem ver como o panorama geral de risco está mudando: quais riscos estão se tornando mais significativos e urgentes para serem tratados e quais foram mitigados com sucesso.
Métodos para calcular a pontuação de cyber risk
Existem várias estruturas ou métodos para pontuação de cyber risk. O mais simples é estimar a probabilidade de um ataque, atribuir um valor a essa probabilidade e multiplicá-lo pela gravidade potencial do ataque para chegar a uma pontuação numérica de risco.
A estrutura do National Institute of Standards and Technology (NIST)
O NIST oferece uma solução de pontuação de cyber risk que atribui categorias de segurança a todos os componentes de um sistema e estabelece uma linha de base de controle de segurança para cada um: baixo, moderado ou alto. Cada controle recebe um peso inicial de 1 a 10, com base em sua importância relativa para a postura geral de segurança e privacidade da organização.
Na estrutura do NIST, o perfilamento de risco ajuda a determinar o escopo necessário dos controles exigidos. Fatores como confidencialidade, integridade e disponibilidade (abreviado como 'CIA') são atribuídos em uma escala de 1 a 10 e aplicados aos diversos controles de acordo com a criticidade dos dados/informações associados.
Informações históricas sobre violações passadas, eventos conhecidos que afetam o setor/indústria da organização e outros conteúdos contextuais também são considerados para fornecer uma pontuação preditiva que indique com precisão o risco potencial de incidentes futuros.
Outras abordagens
Outros métodos para calcular a pontuação de cyber risk incluem:
- Factor Analysis of Information Risk (FAIR)— geralmente usado para pontuação de risco baseada em finanças, como no caso do CRQ. Parte do método FAIR é dividir os riscos em subcomponentes para fornecer uma precisão detalhada.
- Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE)— focado, como o nome sugere, nas operações de negócios, com cálculos de risco baseados em ameaças específicas dos ativos e vulnerabilidades da infraestrutura.
- ISO/IEC 27005— que oferece orientações sobre o gerenciamento de riscos de segurança da informação relacionados à definição do contexto de gerenciamento de riscos; identificação e avaliação de riscos (incluindo a probabilidade de ataque); e medidas de mitigação ('planos de tratamento de risco').
Outro contribuinte para a pontuação de risco é o Common Vulnerability Scoring System (CVSS). O CVSS não realiza todo o trabalho de pontuação de risco, mas oferece uma maneira útil de classificar a gravidade potencial das vulnerabilidades identificadas em software. Essas classificações podem então ser usadas como parte do cálculo geral da pontuação de risco.
Quem pode nos ajudar com a pontuação de risco em Cibersegurança?
A Trend Micro co-desenvolveu o Cyber Risk Index (CRI) com o Ponemon Institute para ajudar as organizações a determinar seus níveis de risco e onde podem ter lacunas em Cibersegurança. O CRI atribui uma pontuação de risco às organizações com base em uma avaliação abrangente de categorias e fatores de risco. O índice incorpora eventos de risco que impactam uma ampla gama de ativos, incluindo usuários, dispositivos, aplicações, domínios e endereços IP expostos à internet, e ativos baseados em nuvem.
A avaliação do CRI depende de fontes de dados conectadas para avaliar como os fatores de risco afetam o ambiente específico de uma organização. Quanto mais fontes de dados puderem ser incorporadas, mais completo e abrangente será o resultado do CRI.
O CRI é atualizado automaticamente a cada quatro horas, com as mudanças no status dos eventos de risco refletidas após até uma hora. As organizações podem recalcular manualmente seu CRI clicando no botão Recalcular. Use a calculadora do CRI aqui para determinar a pontuação de risco da sua organização.
O Trend Vision One™ oferece uma solução de Cyber Risk and Exposure Management (CREM) que garante que as organizações possam descobrir, avaliar e mitigar proativamente os riscos para reduzir sua pegada de cyber risk. O CREM adota uma abordagem revolucionária ao combinar recursos-chave — como External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Vulnerability Management e Security Posture Management — abrangendo nuvem, dados, identidade, APIs, IA, Compliance e aplicações SaaS em uma única solução poderosa e fácil de usar. Não se trata apenas de gerenciar ameaças — trata-se de construir uma verdadeira resiliência a riscos.
Saiba mais sobre como o Cyber Risk Exposure Management pode ajudá-lo a construir uma verdadeira resiliência a riscos.