Compartilhe
21 de dezembro de 2016
Compreender o real impacto de um ataque cibernético e a importância do envolvimento de todas as áreas neste processo é fundamental para a sobrevivência das empresas e avanço dos seus negócios. No entanto, há um longo trabalho de conscientização neste sentido.
Paulo Pagliusi, diretor de Cyber Risk Services da Deloitte, revela que todas as indústrias, sem exceção, quando sofrem ataque ou ameaça cibernética, costumam achar que se trata de um problema de TI. “Cyber Security transcende essa área. É multidisciplinar, envolve a combinação de avaliação de negócios, métodos de quantificação financeira, impactos à marca etc. Exige esforços do Jurídico, Comunicação, TI, Financeiro, RH, Cyber Security e Liderança (c-level e board)”, pondera.
Uma pesquisa de âmbito mundial da Deloitte, chamada “Por dentro de um ataque cibernético – Um olhar mais profundo para os impactos nos negócios” traz análise sobre como os líderes empresariais avaliam os impactos dos ciberataques em suas organizações. “Se há medição para todos os riscos, é preciso mensurar também os cibernéticos, que têm forte impacto para o negócio (incluindo marca, reputação) e podem ocasionar grandes perdas”, pondera Pagliusi.
Segundo o executivo, é comum as empresas fazerem uma análise muito superficial sobre este impacto. “A visão costuma ser curta, quando é preciso analisar o amplo e extenso prejuízo, considerando os custos diretos e os intangíveis (desvalorização da marca, perda de propriedade intelectual e impacto nos negócios)”.
O estudo mostra que apenas 5% dos impactos de um ataque cibernético são analisados para tomada de decisão. Os outros 95% ficam “submersos”, como mostra a ilustração abaixo. Pagliusi conta que a situação costuma ser subavaliada. “As empresas costumam olhar a questão por dois meses e acham que está tudo solucionado, quando na verdade é preciso projetar para o longo prazo, pois os efeitos desses ataques podem ser sentidos por até cinco anos”.
Como lidar com os ataques cibernéticos?
Paulo Pagliusi alerta que os ataques cibernéticos, diferentemente do que ocorria no passado, não acontecem mais por desafio ou diversão: há empresas especializadas nesta prática, visando realmente afetar os negócios das companhias, sendo tais ataques cada vez mais monetizados, silenciosos, persistentes e avançados. “Uma decisão errada em minutos, na área de Risco Cibernético, pode afetar o futuro dos negócios na próxima década”, justifica.
O executivo destaca que demora, em média, 117 dias para que a empresa descubra ter sido alvo de um ataque cibernético. “Muitas companhias podem já ter sofrido ataque e ainda não sabem disso”.
A condução do incidente, depois de descoberto, deveria ser a seguinte:
Dias/semanas:
– interrupção da operação;
– aplicação de controle de segurança, para reduzir vulnerabilidade;
– comunicação de parceiros e clientes;
– movimento para continuidade dos negócios.
Semanas/meses:
– definição de estrutura interina da operação;
– busca de respaldo jurídico;
– observação das questões regulatórias;
– manutenção da relação com clientes e parceiros (busca de continuidade).
Meses/anos:
– esforço voltado a reparar dados aos negócios;
– redesenho do processo;
– investimento em segurança cibernética para emergir mais forte, ao sair da crise.
Como evitar incidentes cibernéticos?
Para Paulo Pagliusi, o caminho está em integrar as múltiplas competências com os executivos da empresa e os profissionais de segurança, tendo a consciência de que uma crise pode realmente acabar com o negócio. O CISO precisa ter postura estrategista, orientando as áreas de negócio em atividades com implicações em riscos cibernéticos.
“É necessário estabelecer a combinação de conhecimento do risco cibernético com a avaliação do impacto do ataque para cada uma das áreas do negócio, considerando os custos financeiros e os intangíveis”.
Pagliusi destaca a necessidade de adotar na empresa uma postura proativa, por meio de um modelo de inteligência e gestão de risco cibernético que considere três pilares:
Segurança: assumir um olhar preventivo, observar as ciberameaças conhecidas e se proteger delas, mantendo a conformidade com padrões e regulamentações.
Vigilância: conhecer e acompanhar as novas ameaças, detectar violações e anomalias no ambiente. Adotar comportamento mais proativo. Com base no que já aconteceu, ou acontece à sua volta, observar atentamente novas e possíveis variáveis.
Resiliência: estar pronto para ameaças imprevisíveis, contando com uma estrutura que sinta o impacto, mas resista a ele. Retorno rápido às operações normais, mediante reparo dos danos causados ao negócio, lidar com a crise cibernética de modo que a empresa consiga emergir dela fortalecida.
