Escolar Documentos
Profissional Documentos
Cultura Documentos
do Conselho na Gestão de
Riscos Cibernéticos
Pocket book
Capítulo 1
Governança na gestão de
riscos cibernéticos
“Risco cibernético Um incidente de segurança Como minimizar o risco
de informação pode acarretar cibernético?
refere-se aos perdas relevantes para uma
potenciais resultados empresa. Para minimizar o risco
cibernético, as empresas
negativos associados a • Perda e/ou exposição de podem recorrer a várias
ataques cibernéticos. dados estratégicos ou soluções físicas, tecnológicas,
confidenciais; humanas e processuais, mas,
Por sua vez, ataques
• Perda no valor da empresa; por se tratar de um evento
cibernéticos podem externo, muitas empresas já
ser definidos • Perda de receita; estão buscando o seguro de
como tentativas • Roubo de propriedade riscos cibernéticos a fim de
intelectual; minimizar seus impactos.
de comprometer a
A falha humana está
confidencialidade, • Ameaças à vida ou à
relacionada ao sucesso
segurança;
integridade, de muitos dos ataques
• Danos à reputação;
disponibilidade de cibernéticos. Por causa disso,
• Perda de clientes; a promoção da cultura de
dados ou sistemas segurança cibernética dentro
computacionais.”. • Interrupção nas operações; de uma empresa é essencial.
(International Organization of Securities • Sujeição a multas e litígios; e
Commissions. Cyber Security in
Securities Markets – An International • Geração de custos de
Perspective Report on IOSCO’s cyber risk diversas naturezas para
coordination efforts, 2016.)
reparação de danos.
Exemplos
Escopo imprópio Falha na atualização de
sistemas
Incluem sistemas
primários e esquecem Falta de atualização de
dos secundário vulnerabilidades
Identificar
Especificar e nomear os ativos críticos, entender o
contexto de negócios, estabelecer foco e priorizar
esforços de acordo com a estratégia de gestão de riscos e
necessidades do negócio.
Recuperar Proteger
Restaurar serviços ou 5 2 Desenvolver e
operações prejudicados implementar salvaguardas
pelo ataque, permitindo a que garantam o
volta às operações normais funcionamento da
e minimizando os efeitos empresa e seus principais
do ataque. serviços e processos.
4 3
Responder Detectar
Responder ao evento ou Desenvolver e implementar
incidente cibernético por atividades para identificar
meio do desenvolvimento esses eventos ou ataques
e da implementação de é fundamental para a
atividades para conter o resiliência cibernética.
impacto do ataque.
Fonte: NIST Cybersecurity Framework Core components. Source: National Institute of Standards and Technology (2018) – Version 1.1
Avaliação Monitoramento
de risco contínuo de Plano de crise Análise
segurança
Estratégia de Processos
gerenciamento de detecção Plano de recuperação de desastres de TI Mitigação
de risco
Referências bibliográficas
COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION).
THE TREADWAY COMMISSION). Enterprise Risk Management – Norma ISO/IEC 27.000:2018.
Integrating with Strategy and Performance: Executive Summary.
Junho 2017. _____. Norma ISO 31000:2018. Disponível em: <https://
pt.scribd.com/document/371084773/Visualize-a-Nova-
IBGC (INSTITUTO BRASILEIRO DE GOVERNANÇA NBR-ISO-31000-2018-Gestao-de-RiscosDiretrizes?secret_
CORPORATIVA). Papéis e responsabilidades do Conselho na password=Ff3Uz4g4D67be76tXreX#fullscreen&from_embed>.
Gestão de Riscos Cibernéticos. São Paulo, IBGC, 2019 (série Acesso em: 14 jan. 2022.
IBGC Orienta).
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGIES.
IIA (INSTITUTE OF INTERNAL AUDIT). Modelo das três linhas Framework for Improving Critical Infrastructure Cybersecurity.
do IIA 2020: Uma atualização das três linhas de defesa. Julho 2018. Disponível em: <https://www.nist.gov/publications/
2020. Disponível em: <https://iiabrasil.org.br/korbilload/ framework-improving-critical-infrastructure-cybersecurity-
upl/editorHTML/uploadDireto/20200758glob-th-editorHT version-11 >. Acesso em: 14 jan. 2022.
ML-00000013-20072020131817.pdf>. Acesso em: 14 jan. 2022.
IOSCO (INTERNATIONAL ORGANIZATION OF SECURITIES
COMMISSIONS). Cyber Task Force: Final Report. 2019. Disponível
em: <https://www.iosco.org/library/pubdocs/pdf/IOSCOPD633.
pdf>. Acesso em: 14 jan. 2022.
Créditos
Esta publicação foi desenvolvida por grupo de trabalho (GT) composto por membros da comissão de Gerenciamento de Riscos
Corporativos do IBGC (em ordem alfabética): Corinto Lucca Arruda, Fernando Nicolau F. Ferreira, Flavia Melo, Luciana Bacci,
Marcelo Toniolo, Marcos Assi e Mercedes Stinco.