Uma abordagem holística na gestão de riscos cibernéticos

conteudo 29 de abril de 2020
Publicidade

Confira o último artigo de Cyber, que faz parte de uma série sobre perspectivas, tendências e potenciais ataques cibernéticos da Zurich

A revolução digital tem mostrado que, mais do que nunca, as empresas estão cada vez mais conectadas, mais abertas e muitas têm um relacionamento de longo prazo com os clientes

Publicidade

Ao mesmo tempo, os cibercriminosos estão expandindo constantemente sua própria atuação e capacidades, levando a um nível de sofisticação sem precedentes. Combinado a um ambiente regulatório cada vez mais complexo, isso significa que empresas de todos os tamanhos e setores têm observado um aumento significativo no risco cibernético, reforçando a necessidade de desenvolver sua resiliência cibernética.

Antes, as empresas geralmente olhavam para o risco cibernético a partir de uma perspectiva interna: a integridade de seus próprios sistemas, dados, controles e processos para proteger seus ativos digitais críticos. E, embora essa ainda seja uma faceta importante da segurança da informação e da gestão de riscos, há muito mais na resiliência cibernética do que na integridade das redes internas. Trata-se de entender a importância da preparação e resposta, e como os serviços cibernéticos pré e pós-violação e, até mesmo o seguro cibernético, podem desempenhar um papel importante na resiliência cibernética, tanto de uma perspectiva interna quanto de todas as partes interessadas envolvidas, incluindo fornecedores, distribuidores, clientes e funcionários.

Preparação e resposta

Publicidade

Historicamente, há um foco na segurança cibernética, mas não basta mais ter a tecnologia tentando proteger os negócios contra ataques externos. Há uma necessidade crescente de as empresas se prepararem para cenários de ataque e responder a incidentes e violações. As organizações sofrem ataques cibernéticos todos os dias, mas isso não significa necessariamente que os negócios sejam gravemente afetados.

Existe uma crescente aceitação e conscientização do público em geral de que ataques cibernéticos ocorrerão com maior frequência. Porém, a rapidez com que uma empresa responde sua capacidade de prever incidentes e, o mais importante, a rapidez em que é capaz de minimizar o impacto aos clientes, tem uma grande repercussão na maneira como o público observa a organização.

Há, também, uma gradativa aceitação e conscientização do público em geral de que ataques cibernéticos ocorrerão com maior frequência.

Por esta razão, incentivamos as empresas a se concentrarem em programas de resposta a incidentes, para que estejam preparadas e possam minimizar o impacto tanto em danos quantificáveis quanto em danos à reputação.

Serviços pré e pós-violação

Os líderes empresariais querem garantir que estejam preparados para um plano de recuperação o mais rápido possível na ocorrência de um incidente. Assim, os serviços necessários para as empresas, geralmente, se enquadram em duas categorias: pré e pós-violação. Os serviços de pré-violação concentram-se amplamente em tornar-se mais resiliente frente aos riscos cibernéticos. As empresas se perguntam: como gerenciar melhor o risco cibernético, como mitigá-lo e quais etapas seguir para minimizar as vulnerabilidades?

As vulnerabilidades são frequentemente encontradas externamente – se os fornecedores e outras partes não utilizarem a mesma diligência ou padrões, essas vulnerabilidades se estenderão ainda mais na cadeia de suprimentos.

As empresas devem estar cientes de que pode não haver tempo e recursos suficientes para investir na segurança de sua cadeia de suprimentos e, portanto, pode se tornar uma ameaça. Ter procedimentos e prestadores de serviços específicos antes que um incidente realmente ocorra geralmente é a melhor maneira de minimizar o impacto na empresa.

O treinamento e a conscientização do usuário sobre engenharia social também são extremamente importantes. Podem ser coisas relativamente simples, como reconhecer um ataque de phishing ou engenharia social, ou ainda, pensar duas vezes antes de clicar em um link. Às vezes, é chamada de “higiene cibernética básica”, com a ideia de que eventualmente essas ações se tornarão um hábito para as pessoas. Mas, por enquanto, isso ainda precisa ser reforçado e as empresas devem estar vigilantes, pois as ameaças estão se tornando mais sofisticadas e direcionadas.

A segunda categoria de serviços são os serviços pós-violação e, geralmente, se referem às atividades necessárias se e quando uma empresa sofrer um incidente cibernético. Isso pode incluir serviços de gestão de crises, como custos de notificação, despesas de relações públicas e custos forenses, associados à definição da amplitude e da gravidade do incidente. Esses custos podem ser altos e crescer rapidamente. Ter procedimentos e prestadores de serviços específicos antes que um incidente realmente ocorra geralmente é a melhor maneira de minimizar o impacto na empresa, tanto de uma perspectiva interna quanto externa.

Seguro e mitigação de riscos

Além da preparação para um incidente, a resiliência cibernética também pode ser reforçada por meio da aquisição de uma apólice de seguro cibernético específica. Uma apólice de seguro para cobrir os custos associados a um incidente cibernético é frequentemente vista como a última medida. No entanto, o seguro cibernético pode não apenas fornecer um método eficaz de transferência de riscos, como também garantir uma variedade de serviços, incluindo os serviços de pré e pós-violação necessários para a resiliência cibernética. Um incidente cibernético pode ser devastador para uma empresa, mas não precisa destrui-la totalmente.

Obtendo o equilíbrio certo

Em tudo isso, há um equilíbrio a ser alcançado: uma empresa precisa estar protegida e preparada, mas também precisa administrar seus negócios, visando obter lucro e aproveitar as oportunidades. Acima de tudo, isso significa que a segurança cibernética não é apenas uma questão técnica, mas um desafio comercial emergente.

Os líderes empresariais devem tomar decisões todos os dias, mas geralmente há uma contrapartida e a resiliência cibernética não é diferente: quanto vale esse risco e quanto as empresas estão dispostas a investir? Qual é a maneira mais econômica de reduzir o risco a um nível aceitável para os negócios? Uma empresa pode precisar aumentar a velocidade de comercialização de um produto, porém, comprometendo a segurança como resultado. Ou o aumento da segurança em uma área específica pode comprometer a velocidade de comercialização.

O desafio na gestão de riscos cibernéticos é tentar manter o equilíbrio, compreendendo que é preciso dar e receber. Obter o equilíbrio correto entre custo, segurança e velocidade pode não apenas criar resiliência cibernética, mas gerar novas oportunidades.

Categories: Colunas
Tags: , , ,
conteudo

Related Articles

Report

Harassment or bullying behavior
Contains mature or sensitive content
Contains misleading or false information
Contains abusive or derogatory content
Contains spam, fake content or potential malware

Block Member?

Please confirm you want to block this member.

You will no longer be able to:

  • See blocked member's posts
  • Mention this member in posts
  • Invite this member to groups
  • Message this member
  • Add this member as a connection

Please note: This action will also remove this member from your connections and send a report to the site admin. Please allow a few minutes for this process to complete.

Report

You have already reported this .