Cyber Risks: uma ameaça como nenhuma outra

global cyber risk

Estou no negócio de seguros e, por anos, fiz um discurso de campanha para CEOs, CFOs, CROs e gerentes de risco, tentando chamar a atenção para o risco cibernético. Hoje, eu não tenho mais que fazer aquele discurso.

Mary Jo White, chefe da SEC, disse recentemente que os ataques cibernéticos representam “o maior risco sistêmico” para os EUA. Em Davos, na Suíça, líderes mundiais estavam todos focados em ‘cyber risks’ durante o Fórum Econômico Mundial deste ano.

Posteriormente, o presidente dos Estados Unidos emitiu uma ordem executiva direta ao governo e às empresas para compartilharem mais informações sobre as ameaças cibernéticas. O presidente assinou outra ordem executiva recentemente destinada a combater globalmente o cybercrime.

Então, as pessoas estão prestando atenção.

Risco cibernético é diferente

O risco cibernético não é como outros riscos enfrentados pelas organizações. Nos casos de outros riscos, as vulnerabilidades, geralmente, são bastante óbvias, tornando assim possíveis as soluções: você avalia o problema, contempla uma gama de opções de resposta e implementa um plano em seguida. Feito. Não que qualquer uma dessas etapas sejam necessariamente simples ou fáceis, mas as questões e os métodos são bastante claros. Não é assim com os ‘cyber risks’.

Onipresença

Primeiro de tudo, não há como evitar. Você não estaria lendo isso se não fosse pela entrega digital de informação. Se você pretende evitar todos os riscos cibernéticos, você não pode estar em seu e-mail, computador, smartphone ou algum ambiente digital.

Interconectividade

Outro fator definitivo para o risco cibernético é a interconectividade. As parcerias em que as empresas se baseiam – fornecedores, processadores de pagamento, provedores de qualquer tipo de serviço – estão cada vez mais relacionadas aos meios digitais, que criam uma cadeia cibernética estendida geometricamente em muitas direções além do firewall da empresa. Enquanto os graus digitais de separação entre as empresas diminuem, aumentam as exposições ao risco por meio destes relacionamentos.

Agora, o que estamos tentando fazer é ajudar as organizações a formatar uma resposta. Essas questões vão muito além dos seguros.

Uma perspectiva incomum 


Em uma recente reunião informal na Northwestern University, estive com o almirante Michael S. Rogers, que é o comandante do Comando Cibernético dos EUA, diretor da Agência de Segurança Nacional e chefe do Serviço Central de Segurança, além de conterrâneo de Chicago. Esta reunião me deu a oportunidade de enxergar a questão do risco cibernético a partir de um ponto de vista que poucos – muito poucos – têm acesso.

O oficial Rogers consegue ver a profundidade e a amplitude do problema, bem como a abordagem colaborativa que soluções eficazes exigem. Em uma recente declaração perante o Comitê do Senado sobre Serviços Armados, ele disse;

… defesa cibernética já não é mais questão de tecnologia de informação (TI), não é uma mera função de apoio em que pode se delegar com segurança para alguém de sua equipe.

O almirante classificou a segurança de computadores como “um projeto de toda a empresa”, e foi citado como o responsável por ter dito que a segurança cibernética é “um esporte de equipe”. Ele disse aos senadores:

“Nem o Governo dos Estados Unidos, os estados ou o setor privado podem defender seus sistemas de informação contra as forças cibernéticas mais poderosas. Os setores público e privado precisam de ajuda de mais alguém”.

Sentado ao redor de uma mesa em Evanston, o almirante Rogers ofereceu alguns detalhes adicionais. No campo de batalha cibernética, como em qualquer campo de batalha, defender-se com inteligência exige momentos de ataque e vice-versa. Se o ‘Cyber ​​Command’ dos EUA desenvolve uma estratégia ofensiva para perseguir um criminoso, esse é o tipo de informação que deve ser compartilhado apenas com o pessoal da segurança cibernética. Ou seja, não se deve revelar nossos planos, que podem apontar potenciais fraquezas a serem bem exploradas por nossos inimigos.

Uma resposta como nenhuma outra

A informação compartilhada mais básica – reportada em violações de dados – é apenas uma parte da resposta. O maior risco precisa de uma resposta coletiva de mesma proporção.

Criar uma cultura de ‘cyber resiliência’

A solução para uma questão relativa ao negócio é uma resposta também relativa ao negócio e não um problema de TI.

Na verdade, se há uma mensagem que eu acredito profundamente, é a seguinte: não funcionalizar a resposta. Não fazê-la em função de tecnologia, gestão de risco, jurídica, recursos humanos (RH) ou qualquer outro grupo. É uma questão estratégica de negócio, e assim deve ser respondida. E deve ser conduzida desde o início. O presidente Obama tem recebido essa mensagem, e se você assistir a Fox News ou a MSNBC, provavelmente vai ver a necessidade de uma liderança de governo neste assunto.

Trabalho em conjunto

A segunda mensagem a se deixar é a necessidade de responder em parceria. Me refiro a parcerias como todas as partes interessadas dentro de uma organização: TI, gestão de riscos, jurídica, recursos humanos, operações e comunicações todos os setores juntos – com os líderes da organização à frente. Isto significaria o rompimento de fronteiras dentro da organização – o que já é em si uma coisa boa.

Estou falando também de romper fronteiras entre as organizações. Isso também não é fácil, mas em uma guerra onde o armamento é digital, os concorrentes provavelmente terão que compartilhar dados se quiserem se defender, com sucesso, de seus inimigos comuns.

O Departamento de Segurança Interna dos EUA tem um grupo voltado para o ‘cyber seguro’ e, no topo de sua lista de itens, está a criação de um depósito de dados sobre incidentes cibernéticos a serem compartilhados.

Estar envolvido

Já a terceira mensagem é ‘envolver-se’. Eu sugiro que qualquer um que vá ajudar as organizações a construir um suporte para ‘cyber riscos’ deve encaminhar ao Ato de 2015 de Compartilhamento de Informações de Segurança Cibernética (CISA), agora que está sendo discutido em Washington. O ato, que tem apoio bipartidário, promove a partilha de informações e responsabilidades de proteção aos dados compartilhados por cada organização.

Se você tiver um problema com isso, então envolva-se com uma organização industrial que esteja encontrando maneiras de passar informações sobre os riscos que se multiplicam do lado de fora e as soluções que, freneticamente, estão tentando se manter. Ou então encontre outra maneira de estar conectado.

Perguntar a si mesmo algumas questões

O primeiro passo que um líder de negócios deve tomar para lidar com um gorila de 800 petabytes é: pergunte a si mesmo algumas questões

  • Você já aceitou o fato de que a invulnerabilidade cibernética não existe, e todos os aspectos do seu negócio dependem do universo cyber? Ou seja, todos os aspectos do seu negócio estão potencialmente em risco?
  • Você sabe qual o alcance e o potencial impacto desse risco em seu negócio global?
  • Você sabe quantos e quais os tipos de ameaças cibernéticas sua organização enfrenta basicamente? Você reúne, avalia e compartilha essas informações com as partes interessadas, incluindo questões de aplicação da lei?
  • Você tem as pessoas certas em suas devidas colocações e com formação, habilidade e conhecimento adequados para ajudar a alinhar os objetivos de sua organização no que tange à segurança cibernética?
  • Você está envolvido em atividades legislativas para melhorar a segurança cibernética em sua empresa e já se juntou aos grupos empresariais apropriados que estão tentando estabelecer padrões para a segurança cibernética?
  • Você segue as mesmas boas práticas em segurança cibernética que todos na sua empresa deveriam seguir para a segurança cibernética – porque, goste ou não, você que define os padrões para aqueles nos quais lidera?
  • Você tem um plano de resposta às violações? Ele já foi testado? Você tem uma pessoa responsável?
  • Você já se consultou com o departamento jurídico sobre como chegar diretamente aos seus concorrentes e compartilhar as informações mais relevantes sobre as ameaças que pesam sobre a sua empresa?
  • Você está realmente seguindo tudo desde o início?

No final, você vai ter que estar com tudo sob controle e entender como os motores cibernéticos rodam dentro de sua empresa. E, em seguida, começar a criar um panorama que aborde os riscos como um todo, tanto dentro como fora de sua organização.

About Eric Joost

Eric Joost is Chief Executive of Willis North American Specialties, where he leads Willis North America’s industr…
Categories: Português, Risco Cibernético | Tags: , , , , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *