quero falar com um especialista

Artigos

Poucos minutos todos os dias para manter você atualizado sobre o que acontece na segurança cibernética de todo o mundo.

Entenda a importância do gerenciamento de risco cibernético

Sistemas integrados pela Internet das Coisas (IoT — Internet of Things), acesso irrestrito a informações corporativas, responsabilidade sobre dados de terceiros e o surgimento de ameaças cada vez mais evoluídas, amparadas por Inteligência Artificial, são aspectos da atual configuração mundial, que tornam eminente o risco cibernético.

Ataques como o do ramsomware Wanna Cry, que em 12 de maio de 2017 infectou cerca de 230 mil computadores em 150 países e provocou um prejuízo estimado em US$ 4 bilhões, escancaram a criticidade do nível de proteção de empresas e governos.

O escândalo da Cambridge Analytica, que afetou o resultado das eleições americanas, é outro exemplo de como a exposição das informações pode ser usada de forma maliciosa.

Fatos como esses, somados à alta conectividade das pessoas e à crescente digitalização de processos potencializam a preocupação dos setores público e privado pela segurança

Segundo a Pesquisa Global de Gerenciamento de Riscos 2017, da Aon, o risco cibernético está em 5º lugar no ranking de riscos corporativos. As empresas sabem da existência desses desafios, mas não priorizam métodos de reaçã o.

Neste artigo, abordaremos sobre risco cibernético, como ele pode atingir as empresas e como fazer o seu devido gerenciamento. Confira!

Como o risco cibernético atinge as empresas

O risco cibernético é altamente disruptivo, porque pode influenciar diretamente outros riscos mais conhecidos, como o risco político, que se relaciona à quantidade de crimes digitais contra governos, partidos políticos e infraestruturas nacionais. Isso afeta diretamente a estabilidade do sistema econômico e os resultados financeiros das empresas com sede nesses países.

Da mesma forma, as organizações também estão sujeitas ao risco de dano à sua marca e reputação, dada a vulnerabilidade dos dados de seus clientes. Em função de ataques, quando o risco cibernético é evidente, esses dados podem ficar expostos, serem roubados e usados para outros fins.

Falamos de dados como números de cartão de crédito, identidade, CPF, endereço, registros médicos, passaporte, lista de clientes, receitas de venda, orçamento e muitas informações que, se roubadas, impactariam diretamente na credibilidade da empresa no mercado.

O nível crítico do risco cibernético também pode interromper processos inteiros nos negócios. Quanto maior a empresa, mais significativo pode ser o seu impacto nos resultados financeiros.

Ainda na pesquisa da Aon, as companhias de maior porte, com receita superior a US$ 1 bilhão, classificam o risco cibernético como segundo colocado no ranking, diferentemente das empresas de menor porte, que não têm essa mesma preocupação, mas são, da mesma forma, vulneráveis e podem ser tão vítimas quanto as maiores.

Além disso, as mudanças regulatórias impostas para minimizar o risco cibernético no âmbito corporativo também impactam os resultados dos negócios e as obrigações das empresas para se adequarem.

São exemplos as diretivas impostas pela GDPR — General Data Protection Regulation, aprovada pela União Europeia em 24 de maio de 2018, e a LGPD — Lei Geral de Proteção de Dados (Lei 13.709/2018), que, sancionada em 15 de agosto de 2018, entrará em vigor em fevereiro de 2020 para regular e assegurar o uso e o processamento de dados pessoais no Brasil.

Como determinar esses riscos

Segundo o Relatório de Tendências de Incidentes e Riscos Cibernéticos da Online Trust Alliance – OTA, publicado pela Convergência Digital, ainda que algumas ocorrências não tenham sido relatadas, mais de 350 mil incidentes cibernéticos foram registrados no mundo em 2017.

Desses, 93% poderiam ser evitados com atualização adequada de software, treinamento das equipes de trabalho e bloqueio de e-mails duvidosos, já que entre as principais falhas de segurança, 52% são atuações de hackers, 15% inexistência ou falha do sistema de segurança, 11% roubo de dados de cartões de crédito, 11% negligência interna e 8% ataques de phishing.

Como o fator humano é o elo mais fraco da corrente de segurança, os ataques de phishing e spear phising utilizam abordagens individuais ou técnicas de engenharia social para personalizar mensagens em e-mails e sites, atrair vítimas e roubar informações de propriedade intelectual, credenciais de acesso aos sistemas, dados financeiros, comerciais e militares.

Muitos hackers também superam os comuns Trojans, malwares e outros vírus para atuarem com ataques do tipo ransomware, em que dados são bloqueados e criptografados no próprio sistema em que se encontram, para, posteriormente, serem exigidos resgates em moeda digital. Mas o simples fato da empresa se conectar à Internet expõe sua infraestrutura ao risco cibernético.

Como gerenciar o risco cibernético

A governança do risco cibernético deve ser estruturada sob os parâmetros da 3LoD — Line of Defense, ou Três Linhas de Defesa, para que não haja retrabalho, considerando a busca constante de redução de custos no âmbito corporativo.

A primeira linha de defesa implementa e operacionaliza métodos de controle para mitigar os riscos, geralmente desenvolvida pelo setor de TI em relação aos processos e soluções escolhidas:

• delimitação da Política de Segurança da Informação (PSI);
• gestão de ativos;
• controle de acesso;
• Sistema de Detecção de Incidentes (SOC — Security Operations Center), entre outros.

Ainda nesse aspecto, todos os setores da organização, especialmente o de Recursos Humanos, devem estar alinhados a essa gestão de riscos cibernéticos, para garantirem que a segurança é um objetivo comum a todos da empresa.

Na segunda linha de defesa são definidas as diretrizes para o devido cumprimento dos métodos de controle escolhidos. Além disso, é de competência dessa fase:

• alinhar a gestão do risco cibernético à estratégia do negócio;
• delimitar os papéis e responsabilidades de todos os usuários de sistema envolvidos;
• garantir capacitação adequada e conscientização das equipes, para que seja;
• disseminada uma cultura de segurança em todo o meio organizacional;
• gerenciar o risco intrínseco na participação de terceiros no negócio (fornecedores, por exemplo);
• definir um Plano de Continuidade Operacional ou Plano de Recuperação de Desastres, caso os riscos não sejam mitigados;
• definir os indicadores utilizados para monitorar os aspectos de segurança escolhidos.

Já na terceira e última linha de defesa, pode ser realizada uma auditoria interna por profissionais qualificados e independentes do ciclo de gestão do risco cibernético da empresa, para avaliar a eficiência da estratégia escolhida e a efetividade da governança implementada.

Como colocar o gerenciamento em prática para garantir a segurança operacional da empresa

Para mitigar o risco cibernético é preciso usar métodos cíclicos que consistem em avaliar, quantificar, testar e responder com ações preditivas os eventos e suas vulnerabilidades.

Avalie as maiores áreas de risco

Antes de efetivar o gerenciamento de risco cibernético, a empresa precisa determinar quais ativos de TI precisam ser protegidos, estabelecendo prioridades quanto ao seu nível de criticidade, além do usuário dos sistemas e terceiros envolvidos nos processos.

Segundo o NIST — National Institute of Standards and Technology, não há uma solução comum para as empresas, por mais parecidos que sejam seus processos. Por isso, é preciso avaliar toda a infraestrutura e os riscos potenciais que poderiam afetá-la.

Instituições financeiras, por exemplo, devem se preocupar, essencialmente, com marcos regulatórios e comerciais, enquanto as empresas de capital privado, com proteções para os ativos mais importantes, como dados pessoais de seus clientes. Apesar disso, uma prioridade não neutraliza a importância da outra — apenas devem ser analisadas em camadas individuais de segurança.

Mapeie os processos e os dados sensíveis

O mapeamento de processos é outro passo importante para mitigar o risco cibernético, já que mesmo implantando uma forte cultura de segurança no meio organizacional, informações sensíveis podem ser compartilhadas por acidente, por meio de documentos anexados sem critério ou deixados sem proteção no servidor.

Os dados armazenados, principalmente em Cloud Server, devem ser considerados como fonte de vazamento em potencial, devido à forte tendência do usuário em negligenciar a proteção depois de um tempo de sua criação e uso.

Para combater esse fato, é recomendado seguir a abordagem do CMM — Capability Maturity Model em cinco níveis de maturidade: inicial, repetitivo, definido, gerenciado e otimizado.

Trace projetos de melhorias

Embora o gerenciamento de risco cibernético considere todos os fatores de exposição e impacto, é preciso desenvolver também projetos de melhorias e mitigar pequenas vulnerabilidades de segurança, que podem acarretar grandes perdas se não forem combatidas no princípio.

Por isso, é preciso controlar efetivamente o acesso à rede, os dispositivos corporativos ligados à Internet e tendências como o BYOD — Bring Your Own Device, manter rígidos o controle de acesso e o uso de sistemas operacionais antigos e desatualizados, solicitar autenticação multifatorial para acesso a documentos e sistemas confidenciais, criptografar informações que serão transmitidas na rede ou armazenadas em nuvem e avaliar o risco cibernético periodicamente, sempre com métodos atualizados de controle.

Esse processo de gerenciamento de riscos cibernéticos é contínuo, pois, apesar de o nível de segurança poder atingir a maturidade desejada, sempre haverá novas vulnerabilidades e ameaças para serem combatidas.

Duas em cada três empresas norte-americanas fazem esse correto gerenciamento de riscos e incluem em seus projetos, seguros para riscos cibernéticos. No Brasil, a consciência em torno desse assunto ainda é limitada, mesmo o país sendo o maior alvo de ataques cibernéticos da América Latina.

As perdas podem ser bilionárias e cabe às empresas tratarem esse assunto como prioridade.
Faça a sua parte, fale com um dos nossos especialistas e saiba como se proteger.

Anteriores

Fale com a Aon

Nossos especialistas estão prontos para ouvi-los e conversar sobre os Riscos Cibernéticos
e as possíveis soluções que o mercado de seguros pode oferecer.

A Aon e outras empresas do grupo usarão suas informações pessoais para contatá-lo eventualmente sobre produtos, serviços e eventos que acreditamos ser de seu interesse. Toda informação coletada é usada de acordo com nossa Política de Privacidade.

Ao preencher os dados, você autoriza expressamente a Aon a coletar, usar, armazenar, transferir e processar seus dados pessoais conforme previsto em tal Política de Privacidade. Por favor assinale este campo caso NÃO deseje receber estes comunicados.