Transformação digital expõem empresas a riscos cibernéticos
Fraudes, roubo de dados e vazamento de informações são ameaças em sistemas cada vez mais interconectados
As empresas estão passando por processos de transformação decorrentes das tecnologias emergentes. A exposição ao mundo virtual aumenta também o risco de crimes cibernéticos. Fraudes, roubo de dados e vazamento de informações confidenciais por meio de invasão dos sistemas informatizados são ameaças que precisam ser avaliadas nos planos de segurança. “Hoje não se questiona se o sistema da empresa vai ser invadido, mas quando será invadido”, afirma Julio Laurino, sócio da Deloitte, um dos palestrantes do fórum de debates sobre gestão de risco cibernético e eficácia de controles internos realizado no dia 17 de agosto, na sede do IBGC, em São Paulo.
Segundo Laurino, as estratégias de segurança cibernética devem se basear em três pilares. O primeiro são os sistemas de segurança, mecanismos de defesa como softwares e procedimentos internos de controle. Monitoramento é outro pilar. Laurino diz que, depois de a companhia estruturar seus mecanismos de proteção, é importante ter a capacidade de identificar quando o ambiente é comprometido. “Levantei muros, mas alguém pulou. Eu preciso saber quando isso acontece”, ilustra.
O terceiro e último pilar na segurança é a resiliência. Uma vez ocorrido um incidente cibernético, a empresa precisa reagir de forma rápida e ter planos de contingência para evitar maiores prejuízos financeiros, na operação e de reputação. “As companhias precisam criar mecanismos de defesa, monitorar os sistemas e responder de forma rápida quando as ameaças se materializam”, resume Laurino, que discute outros aspectos dos riscos cibernéticos na entrevista a seguir.
Os riscos cibernéticos são maiores no mundo atual, mais interconectado e digital?
Os riscos são novos, não maiores. A transformação pela qual as empresas passam, integrando novas tecnologias e migrando negócios para plataformas digitais, acarretou também na transformação dos riscos. Assim como o mercado, o crime cibernético é igualmente inovador. Não podemos negar que os hackers são extremamente qualificados. O foco do crime também mudou. Antes, atuavam para ganhar notoriedade. Agora, os ataques são direcionados e com fins específicos. Há um mercado de informações sigilosas e confidenciais. Os hackers têm a seu favor algo muito relevante, que é o tempo para realizar suas ações. Uma pesquisa mostra que as empresas demoram, em média, 95 dias para descobrir que seu ambiente foi comprometido.
Como as empresas podem se proteger?
É impossível falarmos em 100% de segurança. Imunidade completa contra risco cibernético é utopia. É necessário conhecer os riscos e criar mecanismos para minimiza-los, com ferramentas de controle, monitoramento e procedimentos de reação. Hoje, não se questiona se o sistema da empresa vai ser invadido, mas quando será invadido. Reconhecer que haverá invasão faz diferença. O mais importante é a maneira como a empresa reage a esses incidentes.
As empresas estão preparadas para enfrentar essas novas ameaças?
As empresas estão em processo de amadurecimento de suas práticas. Pelo dinamismo do ambiente empresarial, a segurança cibernética é um processo que nunca terá um ponto final. Não posso dizer que o cenário é o ideal e afirmar que as empresas estão preparadas, mas vejo que as companhias têm programas de aprimoramento contínuo.
Investir em sistemas robustos de segurança evitaria esses ataques?
Investir em tecnologia é fundamental, pois ela ajuda no monitoramento e na resposta aos ataques cibernéticos. Porém, empresas são distintas uma das outras. Os mecanismos de segurança devem ser embasados nas características de cada uma. Não há um protótipo de sistema para todas. Cada empresa precisa identificar o modelo ideal para sua realidade. Instituições financeiras de primeira linha, que atuam em mercados altamente regulados, que lidam com investimentos relevantes, por exemplo, necessitam de um tipo de estratégia. Por outro lado, indústrias que atuam em segmentos mais alternativos e com menos investimentos podem adotar outros procedimentos. Empresa médias e pequenas têm bons resultados com programas de conscientização e reforço nos controles internos. Sistemas caros não são, necessariamente, os mais eficientes.
Segurança cibernética é responsabilidade da área de tecnologia?
O processo de transformação digital também mudou essa visão. No passado, o gestor de segurança cibernética era a área de tecnologia da informação (TI). Um grupo de pessoas ficava tentando achar brechas de segurança, agindo de forma isolada. Hoje, isso mudou. A segurança está ligada ao valor do negócio. Todos são responsáveis ou corresponsáveis pela manutenção da segurança cibernética. A área de TI continua tendo papel importante, mas as estratégias passam pelo processo de empoderamento de todas as áreas para que possam atuar, de forma independente, em ações específicas de segurança.
Quais as responsabilidades das diferentes áreas?
Consideramos três linhas de defesa na gestão de riscos cibernéticos. A primeira está ligada às funções do negócio, no dia-a-dia da companhia. Essas áreas devem conhecer os riscos a que estão sujeitas e definir até que ponto querem se expor a eles. As áreas criam programas para mitigação de riscos nos processos operacionais. A segunda linha de defesa é a área de gestão de risco. É a governança e supervisão de segurança, com a definição de políticas, procedimentos e implementação de ferramentas e processos. Neste nível está o monitoramento e alerta sobre riscos. O compliance para as políticas de segurança existentes também está nesse grupo. A terceira linha é a visão independente do processo, formada pela área de auditoria interna que realiza análises sobre a efetividade do programa.
De que maneira o conselho de administração e o comitê de riscos devem abordar a segurança cibernética?
Há uma nova percepção sobre a realidade da segurança cibernética nos comitês de risco. Nunca tivemos tantas solicitações para apresentações sobre o tema em comitês como nos últimos 12 meses. As empresas estão começando a vincular o risco cibernético à perenidade da sua operação. O conselho de administração é uma peça nova nessa área. Ele ainda atua muito como ouvinte, conhecendo os conceitos e as boas práticas de gestão de segurança. Nas empresas que atuamos, os conselhos ainda não têm uma ação muito contundente, mas este é um processo evolutivo.
O comportamento das pessoas pode comprometer as estratégias de segurança?
Lidamos com o ser humano e o comportamento é fator relevante nos programas de segurança. De forma bem pragmática, a conscientização e mudança comportamental precisam ser trabalhados. É preciso mudar a cultura. Alguns incidentes muito grandes aconteceram por situações de segurança simples que poderiam ter sido solucionadas com ações práticas e rápidas. A tecnologia nos ajuda a monitorar o comportamento do usuário dos sistemas. Técnicas chamadas de use behavior (comportamento de uso) avaliam como eles utilizam determinadas tecnologias.
