Ciclo OODA: conheça esta nova abordagem de gestão de riscos

Manter a atualização sobre meios de realizar a gestão de riscos do negócio é parte do processo de quem trabalha com tecnologia. Assim, uma nova abordagem tem sido proposta para o setor de segurança da informação: o Ciclo OODA.

Sigla para Observar, Orientar, Decidir e Agir, o novo conceito de origem militar consiste em enfrentar e resolver desafios, como ter visibilidade em tempo real para responder à montagem de ciberataques, ameaças persistentes avançadas e vazamentos de informação privilegiada. Tudo para implementar processos automatizados que notifiquem incidentes de segurança de maneira proativa e promova a intervenção humano-guiada.

Originalmente desenvolvido pelo Coronel John Boyd, um dos pilotos de caça mais condecorados da história da Força Aérea norte-americana, o Ciclo OODA representa o processo necessário para “vencer a guerra” e foi utilizado pelo militar para ganhar duelos aéreos na Coréia e no Vietnã. Especialistas acreditam que o método pode ser utilizado para identificar, visualizar, priorizar e orquestrar a correção da maioria das ameaças cibernéticas.

Confira as quatro etapas do Ciclo OODA e como se aplicam às atuais práticas de gestão de risco:

Observar

Para entender a última etapa – Agir (também chamada de ações de correção) – a primeira delas é fundamental para minimizar a exposição ao risco cibernético de uma organização. Em muitas empresas, a sobrecarga de dados tornou-se o calcanhar de Aquiles das operações de segurança no dia-a-dia, o que pode tornar o ambiente muito vulnerável. Assim, o conceito busca a agregação automatizada de informações em diferentes tipos de dados, seu mapeamento para os requisitos de conformidade e a normalização para excluir falsos positivos e duplicatas.

Orientar

Focadas em seu modelo interno de Segurança da Informação, muitas organizações têm dificuldade em priorizar suas ações de gestão de riscos com base na importância dos ativos de negócio. Combinando o modelo de ciclo OODA com ferramentas de gerenciamento de risco cibernético, é possível colocar sob uma visão holística o contexto da inteligência interna de segurança, dos dados sobre ameaças externas e da importância do negócio. Desta forma, a área de Segurança da Informação pode determinar quais ameaças iminentes de ataques cibernéticos precisam ser mitigadas.

Decidir

Na guerra cibernética, as decisões precisam ser feitas rapidamente. O Ciclo OODA busca a aplicação de classificação de risco e tecnologia avançada de aprendizado, para classificar o nível de gravidade que as ameaças individuais representam para ativos, aplicativos e processos de negócios. Esta abordagem pode ser usada para que as equipes de operações de segurança possam concentrar-se sobre os riscos que ameaçam o negócio e acelerar significativamente o processo de decisão.

Agir

O aumento da colaboração entre as equipes de operações de segurança e de TI continua sendo um desafio para muitas organizações. Nesse contexto, o Ciclo OODA propõe a combinação de fluxo de trabalho, atribuindo etapas de correção detalhadas para cada tipo de vulnerabilidade e para automatizar a gestão de risco em tempo real.

Com Security Week.15

A importância do gerenciamento de riscos de parceiros e fornecedores

Várias violações de grande escala se originam nos riscos provocados por parceiros e fornecedores, algo que ainda tem pouca importância para os executivos de grandes organizações.

Segundo uma pesquisa do Ponemon Institute, os executivos não estão engajados nos processos de gerenciamento de riscos de terceiros e faltam programas formais para fazer a gestão desses riscos.

O estudo, conduzido com mais de 600 pessoas mostra ainda que 75% dos profissionais veem os riscos de parceiros e fornecedores como algo sério, porém, apenas 29% dos entrevistados disseram que suas empresas têm um programa de gerenciamento de riscos apropriado e apenas 21% acredita na efetividade das organizações na mitigação desses riscos.

Um erro de segurança de um parceiro ou fornecedor pode ter grande impacto no custo de uma violação de dados. Um estudo de 2014 do Ponemon Institute revelou que 65% das empresas que reportaram dividir dados de clientes com um parceiro também informaram uma violação subsequente por causa disso.

Boas práticas para gerenciamento de riscos de terceiros

O gerenciamento de riscos de parceiros e fornecedores é um desafio até nas maiores empresas devido ao aumento da complexidade dessas relações.

Especialistas em segurança concordam com algumas boas práticas. Conheça:

Tenha uma lista clara de todos os fornecedores e parceiros: As empresas apenas podem gerenciar os recursos que sabem que têm. Essa lista deve incluir todas as linhas de negócio e requer um processo de validação.

Riscos devem ser atribuídos a cada parceiro: Os riscos de cada fornecedor e parceiro devem ser registrados, revisados e classificados todos os anos. Os riscos podem ser colocados em categorias como “baixo”, “médio” e “alto” e podem ser redefinidos de tempos em tempos.

Processos de governança: Como terceiros são associados a diversas linhas do negócio, é preciso haver uma autoridade central para decidir como resolver problemas. Se as evidências de um problema apontam para um fornecedor, é preciso que haja uma autoridade para decidir como responder.

Cumprimento de compliance e políticas de segurança: Contratos devem conter um grande peso em disputas e defesas, portanto, políticas de segurança devem ser formalizadas por meio deles. Ao mesmo tempo, as empresas devem avaliar de tempos em tempos o cumprimento das normas estabelecidas.