No mundo dos negócios, sempre tivemos o desafio de gerenciar riscos. Não há negócios sem riscos associados a questões operacionais, financeiras, de mercado, estratégicas e de reputação. Mas, à medida que digitalizamos e nos tornamos mais dependentes da tecnologia e da informação e estamos cada vez mais interconectados, o ciber risco concentra nossa atenção. E associado a esses riscos cibernéticos, vem o cibercrime, onde os crimes comprometem a tecnologia e a informação.

Isso não é entendido facilmente. No passado, o considerávamos responsabilidade das áreas de tecnologia. No entanto, percebemos que o ciber risco atravessa nossas organizações e aparece permanentemente. Seu impacto pode ser devastador e causar efeitos operacionais, financeiros, jurídicos e o que mais nos custa dimensionar, consequências de reputação que podem ser desastrosas.

Este é um tema que abrange a todos e cuja responsabilidade final recai sobre diretores e conselheiros. Por esta razão, devemos nos esforçar para compreendê-lo e nos preparar para enfrentar os efeitos que dele derivam.

Onde o ciber risco surge?

Do uso de tecnologias e de informações, das estratégias digitais e do ecossistema ao qual nos interconectamos na Internet. Utilizamos tecnologias de informação, operacionais e de negócios para automatizar e controlar o que fazemos, desenvolver produtos e serviços, interagir com clientes e terceiros. Tecnologias disruptivas para modelos de negócios tradicionais, criando novos modelos. Plataformas em nuvem, Internet das Coisas (IoT), inteligência artificial (AI), machine learning e robotização, que nos levam a uma nova era industrial. Blockchain que nos permite distribuir o processamento de forma mais segura. Plataformas que nos permitem ter quase tudo como um serviço (XaaS), incluindo assistentes virtuais. Interação por meio do tato, visão e da voz, a partir de dispositivos.

O risco cibernético também se origina de todos os dados que armazenamos e manipulamos. Dados que, em sua maioria, são dados “escuros”. Ou seja, dados que não usamos nem entendemos seu significado. Calcula-se que, hoje, estes dados são quase 70% das informações armazenadas: e-mails, documentos, contratos, textos, dados estruturados e não estruturados. Dados que trazem mensagens ocultas, não analisadas ou interpretadas, que a partir do uso de ferramentas de Big Data, inteligência artificial, processamento de linguagem natural e análise, poderíamos gerar informações que nos levassem à ação. Dados muito provocativos para o cibercrime.

O risco é a possibilidade de gerar perdas financeiras, disrupções operacionais ou danos à reputação, causados ​​por falhas na tecnologia e na informação; por vulnerabilidades ou debilidades nos sistemas; ou por ataques perpetrados por terceiros, incluindo pessoas internas, estados, hacktivistas e hackers, entre outros. Ransomware, botnets e malware são termos que lemos e ouvimos na mídia e que até os não técnicos conseguem compreender.

Quão grande é o cibercrime hoje? 

Não existe legislação homogênea para a divulgação de ataques e incidentes, nem para relatar perdas associadas. Os incidentes comprometem a integridade, confidencialidade e a disponibilidade das informações. Durante os ataques (breaches), ocorre a divulgação de informações não autorizados a terceiros. Cifras importantes são estimadas. Em um estudo recente elaborado pela VerizonData Breaches Investigation Report 2018 –, estimou-se que, em 2017, ocorreram 53 mil incidentes, 2.216 ataques em 65 países, motivados por algum tipo de interesse financeiro (76%). Os ataques variam de acordo com o setor, mas entre os mais afetados estão os governos, o setor de saúde, os serviços financeiros e o de manufatura. Não há geografia ou área a ser salva. Quase três quartos dos ataques foram perpetrados por agentes externos e, embora a invasão aconteça em apenas alguns segundos, são meses para detectar que fomos violados. Outro dado inquietante é que cerca de 4% dos funcionários de nossas empresas ainda clicam em e-mails maliciosos e phishing.

Calcula-se que o cibercrime seja mais lucrativo do que o narcotráfico e a venda de drogas ilegais, causando prejuízos de US$ 6 trilhões até 2021

Atualmente, calcula-se que o cibercrime seja mais lucrativo do que o narcotráfico e a venda de drogas ilegais, causando prejuízos de US$ 6 trilhões até 2021, número duas vezes maior que o registrado em 2015. Cifras verdadeiramente preocupantes.

O que devemos fazer? 

Promover o gerenciamento de risco prioritário em nosso dia a dia nas empresas e na responsabilidade atribuídas aos altos comandos da empresa, conselhos e diretorias.

Promover o gerenciamento de risco prioritário em nosso dia a dia nas empresas e na responsabilidade atribuídas aos altos comandos da empresa, conselhos e diretorias

Além disso, devemos:

1.       Assegurar a elaboração de um programa claro de risco cibernético que parta da identificação de quais informações e sistemas queremos proteger: as jóias da coroa. Identificar os riscos e mecanismos associados para gerí-los, seja com ações de mitigação, rejeitando-os ou transferindo-os, por exemplo, para as apólices de ciber risco.

2.       Concentrar-se não apenas na proteção de informações e tecnologia, mas também no fortalecimento das capacidades de detecção, resposta e recuperação, a fim de tornar-nos resilientes diante de possíveis incidentes e ataques.

Converter as pessoas em nossa primeira linha de defesa, criando consciência do grande desafio que temos, tornando-as parte das atividades de proteção e detecção

3.       Converter as pessoas em nossa primeira linha de defesa, criando consciência do grande desafio que temos, tornando-as parte das atividades de proteção e detecção.

4.       Guardar apenas os dados estritamente necessários para atingir os objetivos de negócios, controlando também quem pode acessá-los com fortes mecanismos de autenticação, criptografando-os sempre que possível.

5.       Incorporar a gestão do ciber risco e da cibersegurança dentro de nossa estratégia e tornar a segurança parte do projeto e da operação de tudo aquilo que fazemos.

6.       Não esquecer o ecossistema de terceiros, clientes, fornecedores e outros. Quando nos interconectamos, o risco é agregado e sua somatória é potencializada como um risco de nossas organizações.

Trabalhemos juntos, setor público e privado, porque é a maneira mais eficaz de enfrentar o grande desafio que temos.