Área Restrita

Bem-vindo ao Site da Segurança!

Welcome to the Security Website!

Este website colocará à sua disposição todos os textos, imagens, gráficos, ficheiros de som, ficheiros de animação, ficheiros de vídeo, que são de domínio público e outros que estão protegidos por direitos autorais e por outras leis de proteção da propriedade intelectual, sempre com citação de fontes. Todos os direitos são reservados. Estes objetos não podem ser copiados para utilização ou distribuição comercial, nem podem ser modificados ou reenviados para outros websites. Esta disposição aplica-se especificamente a reproduções, traduções e processamento eletrônico de dados.
This website will make available to you all texts, images, graphics, sound files, animation files, video files, which are in the public domain and others that are protected by copyright and other intellectual property protection laws, always with citation of sources. All rights are reserved. These objects may not be copied for commercial use or distribution, nor may they be modified or reposted to other websites. This provision applies specifically to reproductions, translations and electronic data processing.

O Site da Segurança pretende disponibilizar ao público informação relevante sobre as diversas áreas da Segurança Pública e Privada e constitui um portal para a divulgação de notícias sobre os setores no Brasil e no Mundo.
The Security Website aims to make relevant information available to the public about the various areas of Public and Private Security and constitutes a portal for disseminating news about the sectors in Brazil and around the world.

Informações Importantes: Caso necessário, o Site da Segurança poderá alterar e/ou interromper o funcionamento de partes ou da totalidade deste website a qualquer momento, sem aviso prévio, e não assume qualquer responsabilidade pelo conteúdo e opiniões expressos nos artigos e comentários publicados no website.
Important Information: If necessary, the Security Site may change and/or interrupt the operation of parts or all of this website at any time, without prior notice, and assumes no responsibility for the content and opinions expressed in the articles and comments published on the website .

Mediante as condições de utilização acima apresentados, a utilização deste website subentende a aceitação das condições dispostas. Caso não aceite, o seu cadastramento não será considerado válido.
Subject to the conditions of use presented above, the use of this website implies acceptance of the conditions set out. If you do not accept, your registration will not be considered valid.

O conteúdo do Site da Segurança é restrito a Assinantes e gratuito! Preencha o seu cadastro para ter acesso ilimitado:
The content on the Security Website is restricted to Subscribers and is free! Complete your registration to have unlimited access:

Register with us by filling out the form below.

Já é assinante?

Already a subscriber?

Inicie sessão - Sign in

Opinião do Especialista

Segurança cibernética vai muito além de TI (Paulo Pagliusi)

7 anos em
Comente essa notícia
Publicado por Paulo Pagliusi

É fundamental para a sobrevivência das empresas e avanço dos seus negócios compreender o real impacto de um ataque cibernético e a importância do envolvimento de todas as áreas neste processo. Contudo, há um longo trabalho de conscientização neste sentido.

Todas as indústrias, sem exceção, quando sofrem ataque ou ameaça cibernética, costumam achar que se trata de um problema de TI. Porém, Segurança Cibernética transcende essa área. É um tema multidisciplinar que envolve a combinação de avaliação de risco aos negócios, métodos de quantificação financeira, treinamento e conscientização de pessoas, avaliação de impactos à marca etc. Exige esforços do Jurídico, Comunicação, TI, Financeiro, RH, Segurança Corporativa, Auditoria, Gestão de Riscos, Cyber Security e Liderança (C-Level e Board). O programa Cybersecurity Nexus (CSX) da ISACA já aponta nesta direção.

Uma pesquisa de âmbito mundial da Deloitte, chamada “Por dentro de um ataque cibernético – Um olhar mais profundo para os impactos nos negócios” traz uma análise sobre como os líderes empresariais avaliam os impactos dos ciberataques em suas organizações. Se há medição para todos os riscos (financeiros, patrimoniais, jurídicos etc.), é preciso mensurar também os cibernéticos, que têm forte impacto para o negócio (incluindo marca, reputação) e podem ocasionar grandes perdas.

É comum as empresas improvisarem uma análise muito superficial sobre este impacto. A visão costuma ser curta, quando é preciso analisar o amplo e extenso prejuízo, considerando os custos diretos e os intangíveis (desvalorização da marca, perda de propriedade intelectual, impacto nos negócios) em um intervalo de tempo maior do que se costuma empregar.

O estudo mostra que apenas 5% dos impactos financeiros de um ataque cibernético são analisados para tomada de decisão. Os outros 95% ficam “submersos”, como mostra a ilustração abaixo. Assim, a situação costuma ser subavaliada. As empresas costumam olhar a questão por algumas semanas realizando triagem dos incidentes e por mais alguns meses para a gestão do impacto e acham que está tudo solucionado, quando na verdade é preciso projetar para o longo prazo para a completa recuperação do negócio, pois os efeitos de tais ataques podem ser sentidos por até cinco anos.

COMO LIDAR COM OS ATAQUES CIBERNÉTICOS?

De maneira distinta do que ocorria no passado, os ataques cibernéticos não acontecem mais por desafio ou diversão: há empresas especializadas nesta prática, visando realmente afetar os negócios das companhias, sendo tais ataques cada vez mais monetizados, silenciosos, persistentes e avançados. Uma decisão errada em minutos, na área de Risco Cibernético, é capaz de afetar o futuro dos negócios da empresa na próxima década.

No ano passado, em média, demorou 117 dias para que as empresas descobrissem ter sido alvo de um ataque cibernético. Diante deste cenário, muitas companhias podem já ter sofrido ataque e ainda não sabem disso.

A condução do incidente, depois de descoberto, deveria ser a seguinte:

DIAS/SEMANAS:

– interrupção da operação;
– aplicação de controle de segurança, para reduzir vulnerabilidade;
– comunicação de parceiros e clientes;
– movimento para continuidade dos negócios.

SEMANAS/MESES:

– definição de estrutura interina da operação;
– busca de respaldo jurídico;
– observação das questões regulatórias;
– manutenção da relação com clientes e parceiros (busca de continuidade).

MESES/ANOS:

– esforço voltado a reparar dados aos negócios;
– redesenho do processo;
– investimento em segurança, vigilância e, em especial, resiliência cibernética para emergir mais forte, ao sair da crise.

COMO EVITAR INCIDENTES CIBERNÉTICOS?

O caminho está em integrar as múltiplas competências com os executivos da empresa e os profissionais de segurança, tendo a consciência de que uma crise pode realmente acabar com o negócio. Mais do que gestor de ativos de TI e tecnologista, o CISO hoje precisa ter uma postura mais estrategista e conselheira, orientando as áreas de negócio em atividades com implicações em riscos cibernéticos.

É necessário, portanto, estabelecer a combinação de conhecimento do risco cibernético com a avaliação do impacto do ataque para cada uma das áreas do negócio, considerando os custos financeiros e os intangíveis.

Desta forma, há necessidade de se adotar na empresa uma postura proativa, por meio de um modelo de inteligência e gestão de risco cibernético que considere três pilares:

SEGURANÇA: assumir um olhar preventivo, observar as ciberameaças conhecidas e se proteger delas, mantendo a conformidade com padrões e regulamentações. Fazer frente às ameaças conhecidas.

VIGILÂNCIA: conhecer e acompanhar as novas ameaças, detectar violações e anomalias no ambiente. Adotar comportamento mais proativo. Com base no que já aconteceu, ou acontece à sua volta, observar atentamente novas e possíveis variáveis. Estar preparado para ameaças previsíveis.

RESILIÊNCIA: estar pronto para as ameaças imprevisíveis, contando com uma estrutura resiliente, ou seja, que sinta o impacto, mas resista a ele. Retorno rápido às operações normais, mediante reparo dos danos causados ao negócio, lidar com a crise cibernética de modo que a empresa consiga emergir dela fortalecida.

Fontes: relatório Deloitte – Por dentro de um ataque cibernético – Um olhar mais profundo para os impactos nos negócios, 2016. Tradução: Estadão.

Leia também

Sobre o autor

Paulo Pagliusi

Paulo Pagliusi, Ph.D., CISM
Ph.D. in Information Security
Pagliusi Inteligência em Cibersegurança

Sócio de Technology Risk Consulting da KPMG
Chairperson do Comitê de Segurança da ABINC
Diretor da ISACA Rio de Janeiro Chapter

Paulo Pagliusi é um dos palestrantes mais requisitados atualmente, tendo se apresentado em mais de 200 eventos.

Consultor Ph.D. in Information Security, pela Royal Holloway, University of London, Mestre em Ciência da Computação pela UNICAMP, Pós-Graduado em Análises de Sistemas, pela PUC - RJ, Paulo Pagliusi é também CEO da Pagliusi Cibersecurity, Vice-Presidente da CSABR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association), Rio de Janeiro, onde obteve a certificação internacional CISM (Certified Information Security Manager).

Atua há mais de 20 anos com segurança da informação, como coordenador e consultor em projetos, cursos e eventos, em organizações como: ITI e GSI - Presidência da República, Ministério da Defesa, Marinha, Petrobras, FINEP, AGU, Receita Federal, SERPRO, IRB-Brasil Resseguros, Fundação Atech e Ezute, nos temas de: governança de segurança da informação, gestão de riscos e auditoria de TI, estratégia e gestão de riscos cibernéticos, privacidade & proteção de dados, consciência situacional cibernética para Conselhos, resiliência de sistemas de informação, cloud computing e fraudes na Internet.

Vencedor do 8º Concurso Inovação na Gestão Pública Federal, recebedor do 5ª Prêmio “A Nata dos Profissionais de Segurança da Informação”, e dos Prêmios “Personalidade Brasileira Dos 500 Anos” e “Destaque Profissional 500 Anos de Brasil”. Com nome citado na RFC (Request for Comments) 5106 (2008), da IETF (Internet Engineering Task Force), é autor de vários artigos especializados e também do livro: Internet Authentication for Remote Access - Authentication Solutions for Internet Remote Access Networks Aiming Ubiquitous Mobility. Scholar's Press, Alemanha, 2013. Referência para o governo brasileiro como especialista no caso Snowden, durante as audiências públicas da Comissão Parlamentar de Inquérito do Senado Federal criada para investigar a espionagem norte-americana. É um dos mentores do Cyber Manifesto, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos.

Ver outras postagens

Comente

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.