Quando se trata de orçamento CISO, as organizações tendem a investir pouco em iniciativas de segurança cibernética. Intuitivamente, isso faz algum sentido, já que os níveis C costumam ser hiper-focados na economia de custos. No entanto, com os ataques cibernéticos debilitantes se tornando cada vez mais comuns, é tolice gastar menos com a segurança cibernética.
Por meio de seu estudo agora famoso, dois estudiosos da Smith School of Business da Universidade de Maryland, Lawrence Gordon e Martin Loeb, desenvolveram um modelo simples, mas inovador, para ajudar as organizações a equilibrar seus orçamentos de segurança cibernética. Embora originalmente criado em 2002, o Modelo Gordon-Loeb é tão relevante como sempre hoje.
O orçamento CISO pode ser uma tarefa assustadora, especialmente para grandes empresas; no entanto, se você seguir esse modelo, poderá simplificar as coisas e economizar tempo e dinheiro a longo prazo.
Etapa 1: Estime o valor dos dados que deseja proteger.
De acordo com Gordon e Loeb, a segmentação da informação é fundamental. Ao estimar suas perdas potenciais, é vital que você divida seus conjuntos de dados em diferentes segmentos.
Etapa 2: Estime a probabilidade de que cada conjunto de dados seja violado.
Examine a vulnerabilidade de todos os conjuntos de dados: a probabilidade de um ataque ocorrer e ter sucesso. Por exemplo, se houver 50% de chance de que seu conjunto de dados seja atacado e 40% de chance desse ataque ser bem-sucedido, sua pontuação de vulnerabilidade para esse conjunto de dados será (0,5 x 0,4) = 0,2.
Etapa 3: Crie uma matriz com “vulnerabilidade de dados” no eixo Y e “valor dos dados” no eixo x.
Ao criar uma grade, é mais fácil visualizar exatamente onde você deve alocar seus fundos de segurança cibernética. Para cada conjunto de dados dentro da matriz, multiplique o valor do respectivo conjunto de dados pela probabilidade de um ataque ter sucesso. Isso permitirá que você veja rapidamente onde seus conjuntos de dados de maior risco estão localizados.
Etapa 4: Gaste seu orçamento de segurança cibernética onde será mais produtivo – em termos de redução de suas perdas em caso de violação.
Dado que cada caixa dentro da matriz agora tem seu próprio valor de perda potencial, é muito fácil ver onde você deve gastar seu orçamento CISO.
Como regra geral, Gordon e Loeb descobriram que, após um certo limite, os custos da segurança cibernética começam a superar os benefícios. De acordo com os estudiosos, seu orçamento CISO nunca deve exceder 37% de suas perdas totais esperadas. Embora esteja fora do escopo deste artigo, os 37 por cento vêm de 1 / e, que é aproximadamente 0,367.
Exemplo: dentro de sua matriz, um determinado conjunto de dados tem uma probabilidade de ataque de 20% e 80% de chance de que o ataque seja bem-sucedido. Isso resultaria em uma “pontuação de vulnerabilidade” de (0,2 x 0,8) = 0,16. Se este conjunto de dados for avaliado em $ 3 milhões, a perda potencial é ($ 3 milhões x 0,16) = $ 480.000. Então, visto que você não deve gastar mais do que 37% desse número, você precisa fazer um orçamento para não mais do que ($ 480.000 x 0,37) = $ 177.600.
Outras considerações importantes
Como advertência, existem alguns fatores adicionais a serem considerados ao definir suas “pontuações de vulnerabilidade”. As violações podem causar danos duradouros à reputação. O resultado de uma violação incorreta pode resultar em processos judiciais caros de ação coletiva, multas graves e danos incalculáveis devido a informações proprietárias expostas. As violações geralmente têm caudas muito longas, por assim dizer, e podem impedir as empresas de se envolver em atividades de M&A ou ofertas públicas.
Além disso, se a sua organização usa plataformas de segurança de IA ou executa uma grande quantidade de dispositivos IoT, as consequências de uma violação de dados serão diferentes. De acordo com o relatório de 2019 Custo de uma violação de dados do Ponemon Institute e IBM Security, uma violação média custa US $ 148 por registro comprometido. Dito isso, as organizações que usam plataformas de segurança de IA economizam cerca de US $ 8 por registro comprometido, em média. Em contraste, as empresas que operam exclusivamente em dispositivos IoT pagam em média US $ 5 adicionais por registro comprometido.
Principais vantagens
O modelo Gordon-Loeb torna muito simples conceituar onde colocar seus dólares CISO. Usando essa estrutura econômica, fica muito mais fácil justificar os gastos de sua organização com segurança cibernética.
Embora um tanto contraintuitivo, nem sempre é rentável proteger seus ativos mais valiosos. Para um determinado conjunto de dados, se a probabilidade de um ataque bem-sucedido for baixa, pode muito bem ter um custo proibitivo para proteger esses ativos. Dependendo de como sua matriz se desenvolve, pode fazer sentido proteger mais de seus ativos menos valiosos.
Fonte: ManageEngine Insights por John Donegan.
Gostou dessa dica e deseja saber como aproveitá-las utilizando as soluções ManageEngine? Clique no botão abaixo e conheça nossa portfólio completo. Conte sempre com o apoio da equipe ACSoftware.
ACSoftware revenda e distribuidora ManageEngine no Brasil. Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
