Riscos cibernéticos e a governança

O incidente da CrowdStrike destaca a natureza crítica da gestão de risco em geral e, em particular, dos riscos cibernéticos.

por Sandro Benelli, conselheiro de empresas, presidente do Conselho do Mestrado Profissional da FGV/EAESP e professor na FGV
29/07/2024 | 13h00 - Atualizado em 29/07/2024 | 13h15

Imagem do WhatsApp de 2024-07-25 à(s) 08.18.56_97087612Sandro Benelli, conselheiro de empresas, presidente do Conselho do do Mestrado Profissional da FGV/EAESP e professor na FGV. (Foto: Divulgação)

Na madrugada da sexta-feira, 19 de julho, uma falha, atribuída a uma atualização de software no sistema CrowdStrike Falcon, causou de maneira inadvertida uma falha no sistema operacional Windows que levou a uma incapacidade temporária das organizações que usam o CrowdStrike para detectar e responder a ameaças cibernéticas.

Irônico dizer que a empresa que foi contratada para evitar riscos de fraudes cibernéticas foi a responsável por outro risco cibernético, a inoperabilidade.

A CrowdStrike reconheceu o problema e trabalhou ativamente para solucioná-lo, mas o estrago já estava feito. Empresas no mundo inteiro ficaram total ou parcialmente paralisadas, e isto teve um efeito devastador nos negócios.

O incidente destaca a natureza crítica da gestão de risco em geral e, em particular, dos riscos cibernéticos. Gerenciamento de risco significa monitorar, antecipar, evitar ou mitigar riscos que podem afetar nossos negócios. Neste caso seria impossível às empresas enxergarem o risco, pois este viria da empresa contratada para evitá-lo, entretanto nos mostra a importância dos mecanismos de resposta rápida e de gestão de riscos.

Também sublinha a importância de termos planos robustos de backup e contingência para lidar com interrupções inesperadas em nossos negócios. Na tabela abaixo temos alguns dos problemas já identificados relacionados ao “apagão digital”, e é claro que estes custos são estimados e iniciais.

tabela sandro

O Cenário de Ameaças Cibernéticas

No cenário digital atual, a cibersegurança evoluiu de uma preocupação técnica para um elemento crítico da gestão estratégica de riscos. Para o c-level, entender e mitigar os riscos de cibersegurança é fundamental para proteger os ativos, a reputação e a posição competitiva da empresa. À medida que as ameaças cibernéticas se tornam cada vez mais sofisticadas e corriqueiras, é essencial que os líderes empresariais adotem uma abordagem proativa em relação à cibersegurança.

As ameaças de cibersegurança aumentaram tanto em volume quanto em complexidade. Os cibercriminosos utilizam táticas avançadas, como ransomware (pedido de dinheiro para resgate de informações), phishing (roubo de dados para utilização indevida) e ataques de negação de serviço distribuído, chamados DDoS, que impedem os clientes/usuários de acessar os serviços da empresa, para afetar os negócios de organizações de todos os setores e tamanhos.

O impacto financeiro de um ataque cibernético pode ser devastador, com custos relacionados a vazamentos de dados, paralisação operacional, multas regulatórias e danos à reputação que podem alcançar milhões de dólares.

Um exemplo notável é o ataque de ransomware WannaCry em 2017, que afetou centenas de milhares de computadores em todo o mundo, incluindo infraestrutura crítica e grandes corporações. Este incidente destacou a necessidade de medidas robustas de cibersegurança e evidenciou vulnerabilidades em sistemas desatualizados.

Este problema também acontece no Brasil. No mesmo dia 19 de julho a Netshoes informou que houve um vazamento de dados após sua plataforma ter sofrido um ataque cibernético na quarta-feira dia 17. Arquivos contendo informações pessoais de clientes foram expostos, mas ainda não ficou claro o tamanho do problema. As operações da empresa não foram afetadas, mas sua imagem sim. Esta não é a primeira vez que a Netshoes passa por isto, em dezembro de 2017 ela teve seu sistema invadido e dados como nome, endereço, CPF, data de nascimento e informação de pedidos de milhões de clientes foram vazados. Em 2019 ela fechou um acordo com o MP do DF e concordou em pagar R$500 mil como indenização por danos morais causados pelo vazamento.

Para os CEOs e Diretores, estes exemplos servem como um lembrete claro de que a cibersegurança não é apenas uma questão de TI, mas uma imperativa estratégica de negócios.

Cibersegurança e a Gestão de Riscos

A gestão eficaz de riscos envolve identificar, avaliar e mitigar riscos que possam impedir os objetivos da organização. Integrar a cibersegurança nesse quadro requer uma compreensão abrangente das ameaças potenciais e a implementação de uma estratégia de defesa em camadas. A seguir, os principais aspectos que devem ser considerados na implementação de um processo eficaz:

  • Avaliação e Priorização de Riscos:

Realize avaliações regulares de riscos para identificar vulnerabilidades e ameaças potenciais. Priorize os riscos com base em seu impacto potencial e probabilidade de ocorrência. Esse processo deve envolver partes interessadas de toda a organização para garantir uma visão holística do cenário de ameaças;

  • Desenvolvimento de uma Estratégia de Cibersegurança:

Uma estratégia robusta de cibersegurança deve alinhar-se com os objetivos gerais de negócios e a tolerância a riscos da organização. Isso inclui definir políticas e procedimentos claros, estabelecer protocolos de resposta a incidentes e garantir conformidade com regulamentos e normas relevantes;

  • Investimento em Tecnologia e Infraestrutura:

Invista em tecnologias de cibersegurança de ponta, como firewalls, sistemas de detecção de intrusão, criptografia e autenticação multifator. Atualize e corrija regularmente o software para proteger contra vulnerabilidades conhecidas. Além disso, considere adotar soluções avançadas de detecção e resposta a ameaças baseadas em inteligência artificial e aprendizado de máquina;

  • Construção de uma Cultura de Conscientização sobre Cibersegurança:

O erro humano é um fator significativo em muitas violações de cibersegurança. Treinar os funcionários para reconhecer e responder a ameaças cibernéticas é crucial. Implemente programas regulares de treinamento em cibersegurança e promova uma cultura de vigilância e responsabilidade;

  • Resposta e Recuperação de Incidentes:

Desenvolva (e teste) um plano abrangente de resposta a incidentes para garantir que a organização possa responder rápida e efetivamente a um ataque cibernético. Isso inclui estabelecer protocolos de comunicação, atribuir papéis e responsabilidades e realizar exercícios regulares para testar a eficácia do plano.

O Chief Information Security Officer (CISO)

O Diretor de Segurança da Informação (CISO) é um executivo de nível sênior, que desempenha um papel crucial na integração da cibersegurança no quadro geral de gestão de riscos. O CISO é responsável por desenvolver, implementar e supervisionar a estratégia de cibersegurança, além garantir a conformidade com os regulamentos e as leis vigentes no país, como a LGPD. Também é seu papel liderar os esforços de resposta a incidentes. Como um consultor chave para a equipe executiva (CEO, C-level) e para o Conselho, o CISO deve comunicar efetivamente a importância da cibersegurança e defender os recursos e investimentos necessários.

Conclusão

Em uma era onde as ameaças cibernéticas são onipresentes e em constante evolução, os C-level da empresa devem priorizar a cibersegurança como um componente central de sua estratégia de gestão de riscos. Ao adotar uma abordagem proativa e abrangente para a cibersegurança, as organizações podem proteger seus ativos, manter a confiança dos clientes e garantir o sucesso a longo prazo. À medida que o cenário digital continua a evoluir, também devem evoluir as estratégias e tecnologias utilizadas para se defender contra ameaças cibernéticas. Nesse ambiente dinâmico, a cibersegurança não é apenas uma medida defensiva, mas um facilitador crítico da resiliência e do crescimento dos negócio.