Uma abordagem holística na gestão de riscos cibernéticos

Ao mesmo tempo, os cibercriminosos estão constantemente expandindo sua própria atuação e capacidades, levando a um nível de sofisticação sem precedentes. Isso, combinado a um ambiente regulatório cada vez mais complexo, significa que empresas de todos os tamanhos e setores têm observado um aumento significativo no risco cibernético, reforçando a necessidade de desenvolver sua resiliência cibernética.

Historicamente, as empresas geralmente olhavam para o risco cibernético de uma perspectiva interna: a integridade de seus próprios sistemas, dados, controles e processos para proteger seus ativos digitais críticos. E, embora essa ainda seja uma faceta importante da segurança da informação e da gestão de riscos, há muito mais na resiliência cibernética do que na integridade das redes internas. Trata-se de entender a importância da preparação e resposta, e como os serviços cibernéticos pré e pós-violação e até mesmo o seguro cibernético podem desempenhar um papel importante na resiliência cibernética, tanto de uma perspectiva interna quanto de todas as partes interessadas envolvidas, incluindo fornecedores , distribuidores, clientes e funcionários.

Preparação e resposta

Historicamente, há um foco na segurança cibernética, mas não basta mais ter a tecnologia tentando proteger os negócios contra ataques externos. Há uma necessidade crescente de as empresas se prepararem para cenários de ataque e responder a incidentes e violações. As organizações sofrem ataques cibernéticos todos os dias, mas isso não significa necessariamente que os negócios sejam gravemente afetados.

Há uma crescente aceitação e conscientização do público em geral de que ataques cibernéticos ocorrerão com maior frequência. Porém, a rapidez com que uma empresa responde, sua capacidade de prever incidentes e, o mais importante, a rapidez em que é capaz de minimizar o impacto aos clientes, tem um grande impacto na maneira como o público vê tal organização.

Por esta razão, incentivamos as empresas a se concentrarem em redundâncias e programas de resposta a incidentes, para que estejam preparadas e possam minimizar o impacto tanto em danos quantificáveis quanto em danos à reputação.

Serviços pré e pós-violação

Os líderes empresariais querem garantir que estejam preparados para que tenham um plano de recuperação o mais rápido possível na ocorrência de um incidente. Assim, os serviços necessários para as empresas geralmente se enquadram em duas categorias: pré e pós-violação. Os serviços de pré-violação concentram-se amplamente em tornar-se mais resiliente frente aos riscos cibernéticos. As empresas se perguntam: como gerenciar melhor o risco cibernético, como mitigá-lo e quais etapas seguir para minimizar as vulnerabilidades?

As vulnerabilidades são frequentemente encontradas externamente – se fornecedores e outras partes não utilizarem a mesma diligência ou padrões, essas vulnerabilidades se estenderão ainda mais na cadeia de suprimentos. As empresas devem estar cientes de que pode não haver tempo e recursos suficientes para investir na segurança de sua cadeia de suprimentos e, portanto, pode se tornar uma ameaça.

O treinamento e a conscientização do usuário sobre engenharia social também são extremamente importantes. Pode ser coisas relativamente simples, como reconhecer um ataque de phishing ou engenharia social ou pensar duas vezes antes de clicar em um link. Às vezes, é chamada de “higiene cibernética” básica, com a ideia de que eventualmente essas ações se tornarão uma segunda natureza para as pessoas. Mas, por enquanto, isso ainda precisa ser reforçado e as empresas devem estar vigilantes, pois as ameaças estão se tornando mais sofisticadas e direcionadas.

A segunda categoria de serviços são os serviços pós-violação e geralmente se referem às atividades necessárias se e quando uma empresa sofrer um incidente cibernético. Isso pode incluir serviços de gestão de crises, como custos de notificação, despesas de relações públicas e custos forenses associados à definição da amplitude e da gravidade do incidente. Esses custos podem ser altos e aumentar rapidamente. Ter procedimentos e prestadores de serviços específicos antes que um incidente realmente ocorra geralmente é a melhor maneira de minimizar o impacto na empresa, tanto de uma perspectiva interna quanto externa.

Seguro e mitigação de riscos

Além da preparação para um incidente, a resiliência cibernética também pode ser reforçada por meio da aquisição de uma apólice de seguro cibernético específica. Uma apólice de seguro para cobrir os custos associados a um incidente cibernético é frequentemente vista como a última medida. No entanto, o seguro cibernético pode não apenas fornecer um método eficaz de transferência de riscos, como também garantir uma variedade de serviços, incluindo os serviços de pré e pós-violação necessários para a resiliência cibernética. Um incidente cibernético pode ser devastador para uma empresa, mas não precisa destruí-la totalmente.

Obtendo o equilíbrio certo

Em tudo isso, há um equilíbrio a ser alcançado: uma empresa precisa estar protegida e preparada, mas também precisa administrar seus negócios visando obter lucro e aproveitar as oportunidades. Acima de tudo, isso significa que a segurança cibernética não é mais apenas uma questão técnica, mas um desafio comercial emergente.

Os líderes empresariais devem tomar decisões todos os dias, mas geralmente há uma contrapartida e a resiliência cibernética não é diferente: quanto vale esse risco e quanto as empresas estão dispostas a investir? Qual é a maneira mais econômica de reduzir o risco a um nível aceitável para os negócios? Uma empresa pode precisar aumentar a velocidade de comercialização de um produto, porém comprometendo a segurança como resultado. Ou o aumento da segurança em uma área específica pode comprometer a velocidade de comercialização.

O desafio na gestão de riscos cibernéticos é tentar manter o equilíbrio, mas compreendendo que é preciso dar e receber. Obter o equilíbrio correto entre custo, segurança e velocidade pode não apenas criar resiliência cibernética, mas também gerar novas oportunidades.

Por Lori Bailey, Diretor Global de Riscos Cibernéticos, Zurich Insurance Group, e Ronen Lago, Diretor de Tecnologia e Cofundador, CYE, publicado online pelo Commercial Risk, Insurance & Risk Management News em 28 de fevereiro de 2020.

Clique aqui para realizar o download do Gui de Segurança Cibernética para Líderes.