Casos recentes envolvendo fintechs e empresas de tecnologia evidenciam a vulnerabilidade de fornecedores e colocam a gestão de terceiros no centro da agenda de riscos, alerta Marta Schuh, Diretora de Seguros Cibernéticos e Tecnológicos na Howden Brasil
Os recentes
ataques cibernéticos a provedores de tecnologia que operam na cadeia de
pagamentos e serviços financeiros no Brasil trouxeram à tona um ponto crítico,
porém frequentemente negligenciado: a fragilidade na gestão de terceiros. Para
Marta Schuh, Diretora de Seguros Cibernéticos e Tecnológicos da Howden, o
episódio serve como um marco para que instituições brasileiras revejam seus
modelos de avaliação de risco.
“Esse tipo de
ataque deixa claro que não basta olhar apenas para os dados: o impacto atinge a
continuidade do negócio, a reputação e até a estabilidade operacional do
ecossistema financeiro como um todo”, afirma a especialista. Segundo Marta, o
seguro cibernético, além de proteção financeira, é um instrumento importante de
avaliação de maturidade e de indução à melhoria nos controles das empresas.
Na Europa, o
Digital Operational Resilience Act (DORA) estabelece diretrizes claras para a
gestão de riscos operacionais e de tecnologia, com foco especial em terceiros
críticos. Para empresas brasileiras com operações na União Europeia, o DORA é
um requisito imediato, e um modelo a ser seguido domesticamente. “A gestão de
terceiros, como prevê o artigo 28 do DORA, é vital. O Brasil tem avançado com
normas como a Resolução BCB 4.557, mas ainda há uma lacuna enorme na aplicação
prática”, destaca Marta.
Seguro
cibernético: barreira de entrada para fornecedores críticos
Segundo a
diretora da Howden, algumas seguradoras já oferecem apólices que cobrem
inclusive desvios monetários em ataques, mas exigem avaliação criteriosa da
maturidade cibernética da empresa. “A seguradora faz uma checagem dos
procedimentos de segurança e pode recomendar ajustes antes de emitir a apólice.
Sem isso, muitas vezes o seguro não é viável — e isso força as empresas a
amadurecerem seus controles, o que acaba elevando o padrão do mercado”, explica
Marta.
Nesse cenário,
executivos de tecnologia e GRC passam a considerar o seguro não apenas como uma
proteção contratual, mas como um instrumento de governança. Incluir cláusulas
obrigatórias de seguro em contratos com fornecedores críticos, com valores
mínimos de cobertura, começa a ganhar força como boa prática de gestão de risco
cibernético sistêmico.
Uma
questão para conselhos e lideranças
A diretora da
Howden alerta ainda que os recentes ataques mostram que a segurança digital não
é mais um tema apenas técnico; é uma pauta estratégica para conselhos e
lideranças.
Ela ressalta que
o DORA e as normas do Banco Central indicam caminhos claros que devem ser
seguidos. A gestão de fornecedores críticos precisa ser rigorosamente mapeada,
com a exigência de certificações específicas e seguro cibernético como condição
para contratação.
Marta destaca
também a importância dos testes de resiliência previstos no Artigo 24 do DORA,
que devem incluir os prestadores de serviço e estar alinhados com a Circular
4.090 do Banco Central, garantindo que a empresa esteja preparada para
eventuais ataques.
Além disso, a diretora
reforça que os planos de resposta a incidentes precisam contemplar todas as
dependências externas. Indicadores como o MTTR devem refletir a capacidade real
da empresa de responder rapidamente a crises que envolvam terceiros.
Recomendações
práticas
Para CIOs, CISOs
e líderes de risco, o momento exige ação concreta. As principais recomendações
incluem mapear fornecedores críticos e subcontratados; exigir certificações
(ISO 27001, PCI DSS) e apólices mínimas de seguro; atualizar contratos com
penalidades por não conformidade em segurança; implantar testes de resiliência
e monitoramento contínuo de terceiros
“A resposta não
pode mais ser reativa. É hora de as empresas brasileiras tratarem a segurança
cibernética como prioridade estratégica, e não como custo”, conclui Marta.
Nenhum comentário:
Postar um comentário