A Internet das Coisas (IoT — Internet of Things), o acesso irrestrito a informações corporativas, a responsabilidade sobre dados de terceiros e o surgimento de ameaças cada vez mais evoluídas são aspectos da atual configuração mundial que tornam iminente o risco cibernético.
Ataques como o do ramsomware Wanna Cry, que em 2017 infectou cerca de 230 mil computadores em 150 países e provocou um prejuízo estimado em US$ 4 bilhões, escancaram a criticidade do nível de proteção de empresas e governos. O caso da Cambridge Analytica, que pode ter afetado o resultado das eleições americanas, é outro exemplo de como a exposição das informações pode ser usada de forma maliciosa. Fatos como esses, somados à alta conectividade das pessoas e crescente digitalização de processos, potencializam a preocupação dos setores público e privado pela segurança. Segundo a Pesquisa Global de Gerenciamento de Riscos 2017, da Aon, o risco cibernético está em 5º lugar no ranking de riscos corporativos. As empresas sabem da existência desses desafios, mas não os priorizam.
O risco cibernético é altamente disruptivo, porque pode influenciar diretamente outros mais conhecidos, como o político, que se relaciona aos crimes digitais contra governos, partidos políticos e infraestruturas nacionais. Isso afeta diretamente a estabilidade do sistema econômico e os resultados financeiros das empresas com sede nesses países.
Da mesma forma, as organizações também estão sujeitas ao risco de dano à sua marca e reputação, dada a vulnerabilidade dos dados de seus clientes. Aqui falamos de dados de cartão de crédito, documentos pessoais, endereço, registros médicos e muitas informações que, se roubadas, impactariam diretamente na credibilidade da empresa.
Um ataque cibernético pode interromper processos inteiros. Quanto maior a empresa, mais significativo pode ser o seu impacto nos resultados financeiros.
A pesquisa da Aon diz ainda que as companhias com receita superior a US$ 1 bilhão classificam o risco cibernético como o segundo mais importante. Diferente das empresas de menor porte, que não têm essa mesma preocupação, mas são, da mesma forma, vulneráveis.
Além disso, as mudanças regulatórias também impactam os resultados dos negócios e obrigam as empresas a se adequarem. A GDPR — General Data Protection Regulation, aprovada pela União Europeia, e a brasileira LGPD — Lei Geral de Proteção de Dados, que entrará em vigor em fevereiro de 2020, são exemplos disso.
A governança do risco cibernético deve ser estruturada sob os parâmetros da 3LoD — Line of Defense, ou Três Linhas de Defesa.
A primeira linha de defesa implementa e operacionaliza métodos de controle para mitigar os riscos, geralmente desenvolvida pelo setor de TI em relação aos processos e soluções escolhidas. Por exemplo:
• delimitação da Política de Segurança da Informação (PSI);
• gestão de ativos;
• controle de acesso;
• Sistema de Detecção de Incidentes (SOC — Security Operations Center). Todos os setores da organização, especialmente o de RH, devem estar alinhados a essa gestão, para garantirem que a segurança seja um objetivo comum à empresa inteira.
Na segunda linha de defesa, são definidas as diretrizes para o devido cumprimento dos métodos de controle escolhidos. Além disso, é de competência dessa fase:
• alinhar a gestão do risco cibernético à estratégia do negócio;
• delimitar os papéis e responsabilidades dos usuários e sistema envolvidos;
• garantir capacitação e conscientização das equipes;
• gerenciar o risco na participação de terceiros no negócio;
• definir um Plano de Continuidade Operacional ou Recuperação de Desastres;
• definir os indicadores utilizados para monitorar os aspectos de segurança.
Já na última linha de defesa, pode ser realizada uma auditoria para avaliar a eficiência da estratégia escolhida.
Para mitigar o risco cibernético é preciso usar métodos cíclicos que consistem em avaliar, quantificar, testar e responder com ações preditivas os eventos e suas vulnerabilidades.
Antes de efetivar o gerenciamento de risco cibernético, a empresa precisa determinar quais ativos de TI precisam ser protegidos, estabelecendo prioridades quanto ao seu nível de criticidade. Segundo o NIST — National Institute of Standards and Technology, não há uma solução comum para todas as empresas, por mais parecidos que sejam seus processos. Por isso, é preciso uma avaliação caso a caso.
Instituições financeiras, por exemplo, devem se preocupar, essencialmente, com marcos regulatórios e comerciais, enquanto as empresas de capital privado, com proteções para os ativos, como dados pessoais de seus clientes. Apesar disso, uma prioridade não neutraliza a importância da outra — apenas devem ser analisadas em camadas individuais de segurança.
O mapeamento de processos é outro passo importante, já que mesmo implantando uma forte cultura de segurança no meio organizacional, informações sensíveis podem ser compartilhadas por acidente, por meio de documentos anexados ou deixados sem proteção no servidor.
Os dados armazenados, principalmente em Cloud, devem ser considerados como fonte de vazamento em potencial, devido à forte tendência do usuário em negligenciar a proteção. Para combater esse fato, é recomendado seguir a abordagem do CMM — Capability Maturity Model em cinco níveis de maturidade: inicial, repetitivo, definido, gerenciado e otimizado.
Embora a gestão de risco cibernético considere os fatores de exposição e impacto, é preciso desenvolver projetos de melhorias e mitigação de pequenas vulnerabilidades, que podem acarretar grandes perdas se não forem combatidas no princípio.
Para isso, é preciso controlar o acesso à rede, os dispositivos corporativos ligados à internet, tendências como o BYOD — Bring Your Own Device –, solicitar autenticação multifatorial para acessar documentos e sistemas confidenciais, criptografar informações que estão em nuvem e avaliar o risco cibernético periodicamente.
Duas em cada três empresas norte-americanas fazem esse correto gerenciamento de riscos e incluem em seus projetos seguros para riscos cibernéticos. No Brasil, a consciência em torno desse assunto ainda é limitada, mesmo o país sendo o maior alvo de ataques cibernéticos da América Latina.
As perdas podem ser bilionárias. Existem diversos métodos e processos que ajudam as empresas nessa luta. O site criado pela própria Aon o www.aonriscosciberneticos.com.br é um exemplo de fonte que traz diversas dicas sobre o tema.
Esse assunto deveria ser tratado como prioridade nas empresas, mas, infelizmente não é o que acontece atualmente. O processo de gerenciamento de riscos cibernéticos é contínuo, pois, sempre haverá novas vulnerabilidades e ameaças. Faça a sua parte e proteja, você e a sua empresa.