A probabilidade de uma invasão no sistema está diretamente relacionada ao valor dos ativos alvos
Poucos especialistas discordam que ‘a equação financeira da segurança cibernética’ favorece enormemente os hackers. Mesmo com a queda do fórum online DarKode (uma vitória para os mocinhos do ciberespaço), a triste realidade é a existência de inúmeros outros fóruns clandestinos que ensinam os criminosos como organizar e executar um ataque na internet.
Basta uma simples busca para ter acesso rápido às ferramentas necessárias para cometer um crime virtual. Nosso papel como executivos do setor de segurança de computadores é garantir que os piratas do oceano digital tenham de gastar cada vez mais recursos para alcançar seus objetivos.
Muitas empresas trabalham com uma estratégia integrada de segurança que inclui, além do aumento de investimentos e coordenação no desenvolvimento de tecnologias, aprimoramento do treinamento pessoal e da gestão de suas políticas internas.
A solução para o desafio está na resposta à seguinte pergunta: quanto realmente temos que gastar com segurança para que o resultado dessa equação seja a nosso favor? A resposta inclui quantificar o impacto e o risco de uma eventual invasão.
Matemática – Neste ano, o Fórum Econômico Mundial divulgou um relatório que busca construir um framework comum para quantificar o impacto e o risco associados à ataques virtuais.
Os economistas sugerem usar a função matemática do Valor em Risco (VaR), amplamente adotada no setor financeiro. Em termos gerais, o VaR calcula a relação entre o valor ganho e os potenciais riscos de uma operação.
O modelo utiliza três componentes: vulnerabilidade, ativos e o perfil de um eventual hacker. A motivação por trás dos ataques cibernéticos não se restringe apenas a intenções criminais. As empresas precisam planejar e relatar o potencial de ser alvo de ações terroristas, de espionagem e de causas da guerra. Em certos casos, as atividades são patrocinadas por países e, portanto, podem ser apoiadas por um nível elevado de sofisticação e financiamento – o que pode atingir em cheio uma organização despreparada.
No centro da equação estão os ativos tangíveis e intangíveis de uma corporação. Os intangíveis incluem, por exemplo, os IPs, dados privados que, em caso de perda, podem afetar a reputação da empresa ou da marca. No universo dos tangíveis estão a infraestrutura e sistemas ou recursos que, se comprometidos, levam à interrupção dos negócios temporária ou de longo prazo.
O impacto financeiro de uma violação de segurança e a probabilidade de uma empresa ser alvo estão diretamente ligados a esses fatores. Ou seja, vale aceitar o risco e estimar o quanto uma violação de segurança afeta suas receitas. O desafio é determinar qual é o valor dessa despesa. Os custos variam de acordo com a natureza dos ativos e dos negócios. Certifique-se de ter tempo suficiente para identificá-los. Utilize alguns exemplos – a Sony e a Target são dois deles – para fazer o cálculo com base em cenários realistas.
A terceira variável no VaR é a vulnerabilidade, que diz respeito aos sistemas utilizados para proteger os ativos tangíveis e intangíveis. Ela também está relacionada a sistemas direcionados para causar impacto na capacidade produtiva de uma empresa – como ocorreu no caso da SCADA.
A probabilidade de uma invasão no sistema está diretamente relacionada ao valor dos ativos alvos. A chance cresce ou diminui pelo conhecimento que o criminoso tem de sua estrutura. Se um determinado ativo, por exemplo, existe em três ou quatro empresas, o invasor vai navegar em direção da empresa que considerar mais vulnerável.
Reflexão – Com uma análise interligada desses três principais componentes, as empresas poderão entender exatamente os riscos a que estão expostas. Por exemplo, se os ativos são de alto valor, os hackers certamente estarão dispostos a gastar mais para entrar na rede. A natureza de tais ativos também ajuda a identificar potenciais agentes maliciosos – como os patrocinados pelo crime organizado ou por serviços de espionagem bancados por países. Da mesma forma, se é de conhecimento geral que uma empresa utiliza sistemas mais vulneráveis e desatualizados, ela se torna um alvo mais atraente e, assim, a probabilidade de ataques aumenta.
Ao estudar a questão, algumas empresas reestruturaram suas equipes, contratando diretores executivos para a área de risco. Questione-se sobre a proteção de sua estrutura. O que sua empresa tem feito para quantificar o valor e impacto de um ataque cibernético? Como essa informação é utilizada para determinar níveis apropriados de gastos? Você vai descobrir que muitas ainda não fizeram essa conexão.
Fonte:Computer World