COMENTÁRIO
2024 parece ser um cenário de volatilidade sem paralelo na segurança cibernética. Com mudanças regulamentares, incidentes de serviços de terceiros e incertezas económicas iminentes, a necessidade de envolvimento do conselho em programas de gestão de risco é crítica.
Ele também tem dólares anexados. As violações de dados são duas a três vezes mais caras para organizações nas quais os conselhos não estão ativamente envolvidos em discussões cibernéticas. Há também uma demanda crescente para que os CISOs encontrem formas inovadoras de comunicar o ambiente de risco da sua empresa às partes interessadas.
Além disso, os reguladores estão a impor novos requisitos fiduciários. Por exemplo, os regulamentos cibernéticos da Comissão de Valores Mobiliários dos EUA determinam a divulgação de incidentes cibernéticos “materiais” no prazo de quatro dias após a determinação da materialidade de um evento, numa tentativa de alinhar os conselhos de administração com esta crescente ameaça cibernética. As decisões também exigem a divulgação anual dos riscos materiais e da forma como a empresa os gere.
Os CISOs estão usando definições de materialidade acordadas para comunicar riscos aos executivos seniores e aos conselhos de administração. Isso os ajuda a esclarecer o que significa materialidade para sua organização específica e a avaliar a probabilidade de incidentes cibernéticos. Mas para muitos CISOs, materialidade continua a ser um termo ambíguo, aberto à interpretação com base no ambiente de segurança cibernética único de uma organização.
Determinando a perda de material com benchmarks do setor
O cerne da confusão em torno da materialidade é determinar o que constitui uma “perda material”. É uma discussão desafiadora, mas essencial para iniciar. A definição mais explícita do setor publicada até agora - pelo Dr. Jack Freund, diretor de risco da Kovrr e Distinguished ISSA Fellow, e Natalie Jorion, que formulou a Heurística de Materialidade Cibernética Freund-Jorion - avalia a materialidade como 0.01% da receita do ano anterior, equivalente a aproximadamente um ponto base de receita. (Como veremos abaixo, isso equivale a aproximadamente uma hora de receita para as empresas Fortune 1000.)
Ao testar diferentes limites em relação aos benchmarks do setor, as organizações podem obter uma compreensão mais clara da sua vulnerabilidade a ataques cibernéticos materiais. Kovrr recentemente modelou os incidentes cibernéticos esperados vivenciados pelas empresas Fortune 1000 dos EUA. Cada organização foi analisada de acordo com uma coleção personalizada de eventos e respostas dos controles de segurança, produzindo uma avaliação de quantificação de risco cibernético (CRQ) que revelou a probabilidade e o custo de cada evento de acordo com o setor.
A "Relatório de risco cibernético da Fortune 1000” estima a probabilidade de uma empresa na Fortune 1000 sofrer perdas cibernéticas totalizando mais do que um limite. Por exemplo, o modelo avalia a probabilidade de sofrer perdas cibernéticas totalizando US$ 50 milhões, o que equivale a aproximadamente 1.2 dia de receita. Embora significativo, este valor pode ser considerado materialmente baixo. Um incidente de US$ 100 milhões equivale a 2.4 dias de receita, e um incidente de US$ 500 milhões representa quase duas semanas de operações – sem dúvida, uma perda material para a empresa média da Fortune 1000.
Para contextualizar estes números, a receita média anual de uma empresa na Fortune 1000 é de aproximadamente 15 mil milhões de dólares e a receita diária é de aproximadamente 41 milhões de dólares. Esta é uma interpretação mais prática dos resultados do modelo, que pode apoiar o planeamento financeiro.
O gráfico acima ilustra a probabilidade de organizações dentro de um setor específico sofrerem uma perda de acordo com a magnitude, que pode resultar de um único evento significativo ou de uma série de incidentes menores que apontam para pontos fracos na postura de segurança cibernética de uma organização.
Notavelmente, os setores financeiro e imobiliário, comércio varejista, serviços públicos e petróleo, extração de gás e mineração têm uma chance superior a 10% (1 em 10) de eventos cibernéticos custarem às suas empresas mais de US$ 50 milhões (dentro de 12 meses). e uma chance de mais de 5% (1 em 20) de custar mais de US$ 100 milhões.
Embora a probabilidade de 1 em 10 de ocorrer um evento que custa a uma organização um dia de receitas pareça uma probabilidade elevada, se o incidente fosse reduzido para uma hora, a probabilidade seria muito maior.
Definindo Materialidade para Proteção Contra Eventos Relevantes
Os CISOs podem empregar uma série de estratégias para determinar limites de materialidade, permitindo-lhes fazer os investimentos necessários nas áreas de negócios mais propensas a riscos materiais. Com definições precisas, executivos e líderes de segurança cibernética podem colaborar e tomar decisões baseadas em dados que reflitam com precisão o cenário de ameaças de uma organização.
Primeiro, os CISOs devem identificar quais fatores de eventos têm maior probabilidade de provocar uma perda material em seu determinado setor. Embora existam tendências abrangentes, incluindo o elevado custo das violações de dados, é necessária uma avaliação mais apurada. Por exemplo, o gráfico abaixo, que mostra o custo médio (mais provável) dos eventos por tipo, revela que os eventos de extorsão e de prestadores de serviços apresentam um risco maior para muitas organizações.
Por meio de insights financeiros fornecidos por uma solução CRQ, os CISOs podem comunicar de forma eficaz o benefício de melhorar os controles, posturas e práticas de segurança com o conselho, demonstrando a redução potencial na probabilidade de eventos relevantes e no custo geral.
Finalmente, é crucial monitorar o risco organizacional continuamente. O ambiente de ameaças externas e o custo da remediação estão sujeitos a alterações regulares.
Embora 2024 esteja definido para ser um dos anos mais desafiadores para o pessoal de segurança cibernética, a implementação de uma estrutura baseada em dados que defina claramente a perda material pode facilitar discussões mais diretas com o conselho e promover uma cultura de resiliência cibernética.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cyber-risk/a-ciso-s-guide-to-materiality-and-risk-determination
