Opinião do Especialista

Segurança cibernética vai muito além de TI (Paulo Pagliusi)

Publicado por Paulo Pagliusi

É fundamental para a sobrevivência das empresas e avanço dos seus negócios compreender o real impacto de um ataque cibernético e a importância do envolvimento de todas as áreas neste processo. Contudo, há um longo trabalho de conscientização neste sentido.

Todas as indústrias, sem exceção, quando sofrem ataque ou ameaça cibernética, costumam achar que se trata de um problema de TI. Porém, Segurança Cibernética transcende essa área. É um tema multidisciplinar que envolve a combinação de avaliação de risco aos negócios, métodos de quantificação financeira, treinamento e conscientização de pessoas, avaliação de impactos à marca etc. Exige esforços do Jurídico, Comunicação, TI, Financeiro, RH, Segurança Corporativa, Auditoria, Gestão de Riscos, Cyber Security e Liderança (C-Level e Board). O programa Cybersecurity Nexus (CSX) da ISACA já aponta nesta direção.

Uma pesquisa de âmbito mundial da Deloitte, chamada “Por dentro de um ataque cibernético – Um olhar mais profundo para os impactos nos negócios” traz uma análise sobre como os líderes empresariais avaliam os impactos dos ciberataques em suas organizações. Se há medição para todos os riscos (financeiros, patrimoniais, jurídicos etc.), é preciso mensurar também os cibernéticos, que têm forte impacto para o negócio (incluindo marca, reputação) e podem ocasionar grandes perdas.

É comum as empresas improvisarem uma análise muito superficial sobre este impacto. A visão costuma ser curta, quando é preciso analisar o amplo e extenso prejuízo, considerando os custos diretos e os intangíveis (desvalorização da marca, perda de propriedade intelectual, impacto nos negócios) em um intervalo de tempo maior do que se costuma empregar.

O estudo mostra que apenas 5% dos impactos financeiros de um ataque cibernético são analisados para tomada de decisão. Os outros 95% ficam “submersos”, como mostra a ilustração abaixo. Assim, a situação costuma ser subavaliada. As empresas costumam olhar a questão por algumas semanas realizando triagem dos incidentes e por mais alguns meses para a gestão do impacto e acham que está tudo solucionado, quando na verdade é preciso projetar para o longo prazo para a completa recuperação do negócio, pois os efeitos de tais ataques podem ser sentidos por até cinco anos.

COMO LIDAR COM OS ATAQUES CIBERNÉTICOS?

De maneira distinta do que ocorria no passado, os ataques cibernéticos não acontecem mais por desafio ou diversão: há empresas especializadas nesta prática, visando realmente afetar os negócios das companhias, sendo tais ataques cada vez mais monetizados, silenciosos, persistentes e avançados. Uma decisão errada em minutos, na área de Risco Cibernético, é capaz de afetar o futuro dos negócios da empresa na próxima década.

No ano passado, em média, demorou 117 dias para que as empresas descobrissem ter sido alvo de um ataque cibernético. Diante deste cenário, muitas companhias podem já ter sofrido ataque e ainda não sabem disso.

A condução do incidente, depois de descoberto, deveria ser a seguinte:

DIAS/SEMANAS:

– interrupção da operação;
– aplicação de controle de segurança, para reduzir vulnerabilidade;
– comunicação de parceiros e clientes;
– movimento para continuidade dos negócios.

SEMANAS/MESES:

– definição de estrutura interina da operação;
– busca de respaldo jurídico;
– observação das questões regulatórias;
– manutenção da relação com clientes e parceiros (busca de continuidade).

MESES/ANOS:

– esforço voltado a reparar dados aos negócios;
– redesenho do processo;
– investimento em segurança, vigilância e, em especial, resiliência cibernética para emergir mais forte, ao sair da crise.

COMO EVITAR INCIDENTES CIBERNÉTICOS?

O caminho está em integrar as múltiplas competências com os executivos da empresa e os profissionais de segurança, tendo a consciência de que uma crise pode realmente acabar com o negócio. Mais do que gestor de ativos de TI e tecnologista, o CISO hoje precisa ter uma postura mais estrategista e conselheira, orientando as áreas de negócio em atividades com implicações em riscos cibernéticos.

É necessário, portanto, estabelecer a combinação de conhecimento do risco cibernético com a avaliação do impacto do ataque para cada uma das áreas do negócio, considerando os custos financeiros e os intangíveis.

Desta forma, há necessidade de se adotar na empresa uma postura proativa, por meio de um modelo de inteligência e gestão de risco cibernético que considere três pilares:

SEGURANÇA: assumir um olhar preventivo, observar as ciberameaças conhecidas e se proteger delas, mantendo a conformidade com padrões e regulamentações. Fazer frente às ameaças conhecidas.

VIGILÂNCIA: conhecer e acompanhar as novas ameaças, detectar violações e anomalias no ambiente. Adotar comportamento mais proativo. Com base no que já aconteceu, ou acontece à sua volta, observar atentamente novas e possíveis variáveis. Estar preparado para ameaças previsíveis.

RESILIÊNCIA: estar pronto para as ameaças imprevisíveis, contando com uma estrutura resiliente, ou seja, que sinta o impacto, mas resista a ele. Retorno rápido às operações normais, mediante reparo dos danos causados ao negócio, lidar com a crise cibernética de modo que a empresa consiga emergir dela fortalecida.

Fontes: relatório Deloitte – Por dentro de um ataque cibernético – Um olhar mais profundo para os impactos nos negócios, 2016. Tradução: Estadão.

Sobre o autor

Paulo Pagliusi

Paulo Pagliusi, Ph.D., CISM
Ph.D. in Information Security
Pagliusi Inteligência em Cibersegurança

Sócio de Technology Risk Consulting da KPMG
Chairperson do Comitê de Segurança da ABINC
Diretor da ISACA Rio de Janeiro Chapter

Paulo Pagliusi é um dos palestrantes mais requisitados atualmente, tendo se apresentado em mais de 200 eventos.

Consultor Ph.D. in Information Security, pela Royal Holloway, University of London, Mestre em Ciência da Computação pela UNICAMP, Pós-Graduado em Análises de Sistemas, pela PUC - RJ, Paulo Pagliusi é também CEO da Pagliusi Cibersecurity, Vice-Presidente da CSABR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association), Rio de Janeiro, onde obteve a certificação internacional CISM (Certified Information Security Manager).

Atua há mais de 20 anos com segurança da informação, como coordenador e consultor em projetos, cursos e eventos, em organizações como: ITI e GSI - Presidência da República, Ministério da Defesa, Marinha, Petrobras, FINEP, AGU, Receita Federal, SERPRO, IRB-Brasil Resseguros, Fundação Atech e Ezute, nos temas de: governança de segurança da informação, gestão de riscos e auditoria de TI, estratégia e gestão de riscos cibernéticos, privacidade & proteção de dados, consciência situacional cibernética para Conselhos, resiliência de sistemas de informação, cloud computing e fraudes na Internet.

Vencedor do 8º Concurso Inovação na Gestão Pública Federal, recebedor do 5ª Prêmio “A Nata dos Profissionais de Segurança da Informação”, e dos Prêmios “Personalidade Brasileira Dos 500 Anos” e “Destaque Profissional 500 Anos de Brasil”. Com nome citado na RFC (Request for Comments) 5106 (2008), da IETF (Internet Engineering Task Force), é autor de vários artigos especializados e também do livro: Internet Authentication for Remote Access - Authentication Solutions for Internet Remote Access Networks Aiming Ubiquitous Mobility. Scholar's Press, Alemanha, 2013. Referência para o governo brasileiro como especialista no caso Snowden, durante as audiências públicas da Comissão Parlamentar de Inquérito do Senado Federal criada para investigar a espionagem norte-americana. É um dos mentores do Cyber Manifesto, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos.

Comente

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.