Segurança Cibernética
Todos os tipos de empresas, como médicas, financeiras e as instituições de ensino, usam a tecnologia e a internet para operarem com eficiência. Utilizando-a para coletar, processar, armazenar e compartilhar grandes quantidades de informações digitais. À medida que mais informações digitais são coletadas e compartilhadas, a proteção dessas informações se torna ainda mais essencial.
A segurança cibernética trata de todo o esforço contínuo empregado para proteger esses sistemas em rede e todos os dados de usos não autorizados ou prejudiciais. As organizações que capturam e tratam dados são responsáveis por proteger as informações digitais em seus sistemas.
Os líderes de TI enfrentaram durante anos o desafio de conscientizar o Conselho de Administração para que levasse a sério as ameaças de segurança. Cremos que essa barreira nas grandes corporações foi vencida mas, sinceramente, em algumas empresas de menor porte, em que não há um conselho de administração formado, esse tema continua sendo negligenciado.
A pandemia forçou todas as empresas a deixarem suas redes locais para, de uma hora para outra, abrirem suas redes ao acesso externo de diversos funcionários com uma nuvem privada ou migrando sistemas e dados para a nuvem pública. O enfoque mudou, mas o nível de segurança não acompanhou na mesma velocidade: os ataques cresceram, os vazamentos de dados se multiplicaram e ainda tem muito profissional de TI implorando um antivírus.
Cremos que não se trata mais de ser ou não ser atacado, mas quando isso acontecerá na sua empresa, se você não começar a refletir sobre segurança cibernética. Essa semana, lemos trechos de alguns estudos que balizam a minha preocupação:
- “Nation States, Cyberconflict and the Web of Profit” mostra que os ataques com origem (ou patrocinados por) em estados-nação tiveram uma elevação de 100% nos incidentes “relevantes” entre 2017 e 2020, patrocinado pela HP;
- A Darktrace anunciou um estudo conduzido pela MIT Technology Review que revelou que 96% dos líderes de segurança estão agora se preparando para o surgimento da IA com ataques cibernéticos potentes, com muitos deles adotando defesas de IA.
Então, as probabilidades dos riscos se materializarem em um ou mais incidentes de segurança cibernética crescem a cada dia. O que podemos fazer? Reduzir seus impactos dentro das organizações. Como dizia Sun Tzu em um dos princípios orientadores da “Arte da guerra”: conhecer seu adversário. Nesse caso, para conhecer seu adversário é preciso investir tempo e dinheiro, o que infelizmente muitas empresas também não possuem.
É um momento complicado esse em que nos encontramos. Sabemos que diversas organizações ainda não começaram sua auditoria para a adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) porque tiveram de se adaptar para enfrentar confinamento, redução de jornada e, principalmente, sobreviver à queda das receitas. Por tudo isso, postergaram seus projetos.
A vulnerabilidade das organizações aumentou e o caminho para implementarem ações corretivas e de ajustes dos seus processos se tornou incerto, mas a demanda tecnológica cresce a cada dia. Se correr o bicho pega, se ficar o bicho come… então, como dizia Vitorio Furusho, enfrente o bicho.
Segurança cibernética é algo meio paranoico, pois o ideal é proteger tudo e não confiar em ninguém, nem mesmo no seu gestor imediato. Tive a experiência de ver um gerente de TI que usava um HD externo e, quando saiu da empresa onde atuava, carregou os projetos com ele. Então, a adequação começa em colocar uma pessoa para cuidar de Segurança Cibernética e dar a ela poder de apontar os erros cometidos pelos gestores de TI.
E tudo isso é muito caro, eu sei, conheço os preços e à medida que os problemas aumentam, as pressões por soluções também e como todo ciclo vicioso o preço aumenta mais ainda. É de deixar perplexo quem acha que é rápido gerar um código, estabelecer um controle de acesso mais robusto ou definir um novo processo e, acima de tudo, dizer que é caro.
Quer saber o que é caro? Perder seu faturamento, demitir os empregados e ficar com a reputação manchada. Então, pensar em segurança cibernética e que não há garantia de 100% de proteção deve nos levar, além de ações de mitigação e eliminação de riscos, às ações de transferência, como a contratação de um seguro que não se limita apenas à proteção contra os riscos, mas proporciona uma solução abrangente para o gerenciamento da exposição cibernética das organizações.
O chamado Cyber Risks ou Seguro de Riscos Cibernéticos é um produto não tão recente quanto parece, já que é comercializado no Brasil desde 2012. Essa modalidade de seguro ganha força à medida que os ataques se tornam frequentes e as sanções previstas pela LGPD se aproximam e assustam.
De acordo com a Superintendência de Seguros Privados (Susep), os sinistros desta carteira subiram 1.950% no Brasil em 2020. Até novembro, foram pagos R$ 32,8 milhões com indenizações, contra R$ 1,6 milhão em 2019.
Já parou para imaginar quantos clientes, parceiros de negócios e informações sensíveis podem ser impactados após um incidente, inclusive demandando judicialmente indenizações contra a sua empresa?
Visando garantir a responsabilidade de eventuais prejuízos decorrentes de incidentes como roubo e vazamento de dados, o seguro vai além, garantindo ainda custos com multas e sanções administrativas, custos de defesa, gerenciamento de crises, reparação de imagem, notificação, entre muitos outros benefícios.
Existe também um suporte especializado que oferece ferramentas de prevenção e resposta, como scanner de vulnerabilidades e um canal de atendimento 24 horas, contra incidentes cibernéticos.
As seguradoras analisam o risco através de um questionário sobre a segurança digital da empresa e, com base neste perfil, área de atuação e porte da empresa, o valor do seguro será calculado. Acredite, essa solução pode custar menos do que você imagina.
Se você se entusiasmou com seguro e decidiu transferir todos os riscos cibernéticos, fazendo o da sua empresa, é melhor saber que talvez não passe no processo de análise. Então, mitigar o máximo, reduzindo o impacto e a probabilidade de materialização, é fundamental.
Implementar um programa de adequação à LGDP, com auditoria regular dos controles de riscos e dos acessos dos sistemas, canais de denúncia e registros dos incidentes, usando os melhores frameworks de governança e gestão de TI, farão toda a diferença.
Afinal, governança e gestão de TI promovem também o alinhamento da tecnologia ao negócio e aos marcos regulatórios, além da garantia de continuidade do negócio contra interrupções e falhas. Sem contar o aumento de produtividade quando as soluções tecnológicas empregadas são as de melhor aderência aos processos.
Concluímos dizendo que controle e monitoração devem ser implementados e, para dar mais tranquilidade aos gestores no que tange aos investimentos, façam um seguro e reservem investimentos, pois segurança cibernética deve ser linha obrigatória daqui pra frente em qualquer orçamento.
*Adm. Renata Lopes é graduada em Tecnologia de Processamento de Dados, com pós-graduação em Gestão Empresarial e Gestão de Pessoas com Coaching; diretora e consultora de Governança de TI da Tecnologia Humana, professora do curso de pós-graduação em Gestão Eletrônica de Documentos e Gestão do Conhecimento. Atuando há mais de 25 anos na área de Tecnologia da Informação com gerenciamento de projetos e equipes multidisciplinares, em grandes empresas nacionais e multinacionais.
*João Codá é advogado com especialização em Seguros pela Escola Nacional de Seguros, possui 13 anos de experiência em P&C e Financial Lines, com passagens por algumas das principais seguradoras do país. Atualmente é gerente comercial para Seguros Corporativos na D’Or Consultoria em Seguros e Benefícios.