Como empresas podem se proteger de ataques cibernéticos e vazamento de informações

Ao atingir os sistemas de computadores de milhares de usuários e empresas em centenas de países ao redor do mundo, os vírus WannaCry e Petya conseguiram fazer em alguns dias o que a indústria de segurança digital vem tentando há anos: conscientizar a sociedade sobre a gravidade do risco cibernético. De acordo com estimativas da consultoria e corretora de seguros Aon, 100% das empresas do mundo já sofreram algum tipo violação em seus bancos de dados. O problema é que muitas vezes os hackers operam por meses sem nunca serem descobertos.

Diante da impossibilidade de se proteger totalmente de ataques e códigos maliciosos, as empresas precisam tomar alguns cuidados para lidar mais adequadamente com as consequências em casos de violações. “Algumas invasões são realmente inevitáveis, mas nem todas elas têm potencial para causar grandes danos. Nós medimos a gravidade de um ataque cibernético pelo número de pessoas impactadas e pelo custo financeiro da solução”, explica Jesus Gonzalez, vice-presidente de Risco Cibernético da Aon.

O primeiro passo para mitigar o risco cibernético é transmitir corretamente para todos os funcionários as normas de segurança da informação dentro da companhia. “A conscientização tem que ocorrer em todos os níveis hierárquicos. A liderança precisa compreender o papel de cada um dos colaboradores no processo de garantir a segurança da informação”, diz Jesus Gonzalez. “De todas as ações possíveis, o desenvolvimento da educação organizacional tem o melhor custo benefício”.

O segundo passo é desenvolver um plano de resposta a incidentes. Isso é importante para definir papéis, responsabilidades e procedimentos na ocorrência de um evento. Os gestores precisam compreender que em caso de ataques ou vazamentos, toda a empresa será afetada e não apenas o setor de Tecnologia da Informação. “O plano precisa identificar as responsabilidades compartilhadas por diferentes departamentos. Um problema de segurança da informação pode afetar o desempenho econômico de uma empresa. A direção precisa derrubar as barreiras e integrar diferentes áreas, incluindo Jurídico, TI, Financeiro, Recursos Humanos e Gerenciamento de Riscos. Essas pessoas precisam trabalhar juntas”, defende o especialista da Aon.

Além disso, é importante compartilhar o plano com fornecedores terceirizados e parceiros externos que colaboram com a área de Tecnologia para que eles possam implementar ações de resposta com mais eficiência. “Uma resposta rápida à crise é fundamental para mitigar os danos, especialmente no que diz respeito à reputação e marca”, afirma Gonzalez. Outros recursos externos também precisam ser identificados no plano de resposta. “Por exemplo, você já localizou o especialista forense que vai ser acionado em caso de ataques ou vazamento de informações? Já desenvolveu um sistema para notificar sua base de usuários afetada pelo problema? Já selecionou o especialista que vai fazer o aconselhamento legal?”, questiona Jesus. “Essas definições são prioritárias”, acredita.

O terceiro passo para se proteger do risco cibernético é desenvolver um plano de continuidade dos negócios. Tradicionalmente, as empresas fazem esse tipo de planejamento para lidar com riscos físicos, como incêndios e enchentes, que podem interromper as operações. Com o desenvolvimento tecnológico, é importante levar em conta o risco cibernético, já que ele também tem o potencial de paralisar os negócios. “A companhia pode arcar com os custos de uma paralisação de sistema?”, pergunta o vice-presidente de Risco Cibernético da Aon. “Dependendo da gravidade do ataque hacker, os danos podem ser enormes”.

Como essa é uma questão relativamente nova no cenário de riscos, muitas empresas estão compreendendo quais são os custos de ter que lidar com um incidente cibernético do jeito mais difícil: arcando com as consequências. “As companhias podem se proteger se tomarem medidas simples como incluir violações tecnológicas em seus planos de continuidade dos negócios. Essa preocupação possibilita identificar onde estão as lacunas, quais riscos podem ser mitigados e quais devem ser transferidos”, pondera Jesus Gonzalez.

Por fim, o quarto passo para lidar com as consequências de um ataque hacker ou vazamento de informações é implementar um seguro cibernético e revisá-lo periodicamente. Em alguns casos, outras coberturas já existentes, como apólices patrimoniais ou de riscos gerais, podem ser ajustadas para contemplar as exposições identificadas para o risco cibernético. Em outros casos, é melhor contratar um seguro específico para cuidar dessas questões. Compreender a extensão de sua cobertura significa pensar sobre o seguro de forma holística, e não como uma solução somente pontual. “Analise sua cobertura de modo global, e de modo individual”, recomenda Jesus. “Avaliar todas as vulnerabilidades e opções de transferência de risco de forma conjunta é a melhor maneira de garantir a cobertura total.”

Muitas vezes, empresas pequenas ou médias consideram o seguro cibernético inacessível, mas de maneira geral elas podem ser mais beneficiadas pela contratação do seguro do que as grandes empresas. “A seguradora assume o risco trazendo uma série de especialistas para cuidar dos problemas. Se houver uma invasão, a seguradora vai disponibilizar especialistas forenses, consultores jurídicos e gestores de crise”, explica Gonzalez. “Ou seja, com o seguro, empresas de menor porte têm à disposição uma oferta de serviços que elas não possuiriam por conta própria”.

Jesus Gonzalez acredita que empresas maiores podem preferir escolher seus próprios especialistas. Mas o seguro cibernético oferece um ponto de partida abrangente para lidar com situações inesperadas, independentemente do tamanho da companhia atingida. “Os custos associados às interrupções na cadeia de fornecimento, comunicações, transporte e logística podem ser cobertos por um seguro, assim como custos forenses, legais e de notificação de violações cibernéticas. Mas o valor intangível dos segredos comerciais das companhias, infelizmente, não é segurável, então, a compreensão dos riscos é fundamental para os negócios”.

Organizações precisam de um plano para avaliar, testar, melhorar, quantificar, transferir e responder ao risco cibernético. “Na medida em que o risco vai se tornando mais conhecido, empresas e governos devem tomar ações preventivas e elaborar planos reativos para lidar com esses eventos. O papel das corretoras, consultorias e empresas de TI é atuar na conscientização sobre a prevenção e suporte em casos de ataques”, acredita Jesus.

------------------------------------------------------------------------------------
Segs.com.br valoriza o consumidor e o corretor de seguros