Resiliência cibernética, muito além do investimento em ferramentas de segurança

 O ano de 2021 foi especialmente agitado quanto ao tema Segurança da Informação. Não é de agora que este assunto faz parte da pauta do C-Level (Diretoria) das empresas, em especial dos CIOs e profissionais que atuam na área de riscos e compliance. 

Porém a atenção para a cibersegurança vem alcançando patamares ainda maiores já que o Brasil se tornou o 5º país com o maior número de ataques do tipo ransomware, um aumento de 92% em relação a 2020, segundo pesquisa da empresa de segurança da Inflobox, publicada pelo site cio.com.br. 

Ao longo do último ano, foram diversos os exemplos de ataques bem-sucedidos que resultaram em impactos operacionais, danos à imagem e, na maioria dos casos, prejuízos financeiros. Ganharam publicidade os casos do Fleury, JBS, Cyrela, Lojas Renner, Ministério da Saúde e muitos outros, em que as empresas, com seus ativos de TI sequestrados, tiveram que realizar pagamento de altos valores, com operações impactadas, balanços trimestrais prejudicados, etc.. 

Mas não foi apenas com as ameaças de ransomware que as empresas brasileiras tiveram que lidar, embora esta tenha sido talvez a mais impactante. O Brasil é também a capital mundial do phishing, uma outra técnica utilizada para obter dados confidenciais, senhas e informações importantes para serem utilizadas em ataques futuros. 

Tenho observado que são vários os fatores que contribuem para este cenário, mas um dos principais, se não o principal, é o baixo nível de maturidade em segurança da informação e a incorreta alocação de investimentos de muitas organizações (públicas e privadas). 

A boa notícia é que parece haver uma mudança na percepção das empresas do que é segurança da informação e da importância da cultura em ciber-resiliência. Este entendimento está diretamente ligado ao fato de os ataques bem-sucedidos receberem publicidade em âmbito nacional, inclusive em canais de TV aberta. 

É importante ter clareza de que por maior que seja o investimento em ferramentas e técnicas de proteção robustas não há como construir um ambiente intransponível, portanto, não é uma questão de "vai ou não ocorrer um ataque na minha empresa", mas sim "quando ele vai ocorrer." 

Ao assumir que em mais ou menos tempo vai acontecer uma tentativa de invasão no seu ambiente, é mais do que urgente estar preparado para isto. Investir em ferramentas é importante, mas criar uma cultura de resiliência cibernética é fundamental. 

Quando falamos em cultura de ciber-resiliência estamos considerando a preparação da empresa para atuar em três frentes, sendo:

 

(1) Contenção – treinamentos dos colaboradores quanto ao seu papel em segurança da informação, medidas e ferramentas para evitar que o ataque ocorra.

 

(2) Controle do ataque - uma vez que a tentativa aconteceu, sendo ou não bem-sucedida, é necessário identificar em tempo hábil e implementar as medidas cabíveis para conter o ataque ou diminuir os seus impactos, e, por último,

 

(3) Resposta - uma vez que o ataque foi bem-sucedido, quais ações devem ser iniciadas imediatamente e quais mecanismos serão acionados com o intuído mitigar os impactos gerados pelo ataque e dar uma resposta adequada aos stakeholders.

 

Neste novo cenário, é necessário envolver toda a organização. Certamente não terá êxito nesta jornada a empresa que depender apenas do time de TI para responder aos ataques cibernéticos. 

É preciso adotar um conjunto de medidas envolvendo desde o CEO, conselho de administração e RH, até os times de comunicação, assessoria de imprensa, profissionais de tecnologia e representantes dos mais diversos setores. Portanto, é necessário envolver toda a empresa e investir em pessoas na conscientização do papel de cada um para um ambiente mais seguro. 

Contar com uma empresa especializada no assunto assegura para a organização uma visão multidisciplinar do tema, permitindo o desenvolvimento de uma abordagem alinhada com as boas práticas de mercado que atendam as estas três frentes. Ao escolher trabalhar com a Baker Tilly, o cliente conta com expertise de uma empresa global com atendimento personalizado para organizações de todos os portes.

 

 

Leonardo Silva é sócio da Baker Tilly no Brasil - Tem cerca de 25 anos de experiência em projetos de consultoria com foco em gestão e tecnologia, é formado em Tecnologia da Informação, Ciências Contábeis e possui especialização em gerenciamento de projetos pela Harvard Business School.