Se você é como a maioria dos CIOs, pode estar se sentindo um quê de incerteza e despreparo quando o assunto é ciberameaças. E a verdade é que você, provavelmente, tem boas razões para se sentir assim.
“Cibercriminosos estão mais organizados e sofisticados que nunca”, diz Steve Bates da KPMG. “Eles estão usando ferramentas melhores e têm maior acesso a financiamento – seja de corporações concorrentes, nações inimigas ou grupos ativistas. Esses cibercriminosos têm o compromisso, a disciplina e os meios para invadir e gerar danos significativos a qualquer empresa.”
Apesar de o ciber-risco e a segurança de TI serem preocupação crescente das empresas em todos os ramos de negócio, essa preocupação não se traduziu em ação efetiva. De acordo com o relatório Harvey Nash / KPMG 2017 CIO, apenas 21% dos líderes de TI disseram estar “muito bem” posicionados para identificar e lidar com ciberataques hoje ou num futuro próximo; essa é uma queda de 4% em relação ao ano anterior, e 28% nos últimos quatro anos.
Embora ataques a grandes corporações tenham sido amplamente divulgados na mídia, tais como Petya, WannaCry e Cloudbleed, houve muito mais ataques que não chamaram tanta atenção. De acordo com o relatório, quase 1/3 dos entrevistados disse ter tido um grande incidente de cibersegurança nos últimos 24 meses; para grandes empresas, os riscos são ainda maiores, com mais de 50% deles relatando ataques recentes.
E esses ciberataques têm um alto custo. Em média, cada invasão custa US$ 4 milhões. E isso não inclui custos de prêmios de seguro maiores, dano à reputação e relacionamento com o consumidor, bem como a perda potencial de propriedade intelectual (IP).
Entraves ao sucesso
As empresas estão bem cientes de que precisam assumir o controle e mudar a forma como operam de modo a combater a ameaça da cibersegurança. Mas seus esforços têm tido, em geral, pouca efetividade na implantação de mecanismos de detecção de ameaças ou programas eficientes de gestão de risco. Aqui seguem algumas razões por que elas estão enfrentando ineficiências, ficando vulneráveis:
A gestão não entende os problemas: frequentemente, CIOs e CISOs não participam das reuniões de diretoria, ficando fora das conversas centrais. Como resultado, embora a gestão saiba que há um problema, não está totalmente ciente do que a empresa precisa fazer pelos especialistas daquela área. Assim, a gestão tem dificuldade em determinar quanto gastar em proteção cibernética ou como alocar fundos.
Os departamentos operam em silos e não se comunicam: “a ciberameaça é uma questão de risco estratégico-corporativo, não só um problema de segurança de TI”, explica Bates. “Ela tem potencial para impactar compliance, jurídico, operações, marketing, suprimentos e assim por diante. E o ataque pode se originar de sistemas ou equipes de qualquer um dos departamentos.
Na maioria das empresas, todavia, essas áreas operam em silos e não se comunicam entre si, o que dificulta a implementação de um programa integrado de segurança.
A equipe não é experiente e, tampouco, adequadamente treinada: devido à importância crescente da tecnologia em todos os negócios, e a severidade crescente dos ciberataques, profissionais de TI – particularmente, da área de segurança – são difíceis de contratar – ou manter.
Mesmo com a entrada de um número crescente de indivíduos na área, nem todo mundo tem o expertise para desenvolver e implementar programas de segurança apropriados. Como resultados, existe concorrência crescente por profissionais qualificados, e a maioria dos CIOs e CISOs está de mãos atadas quanto à segurança de TI e gestão de risco.
O controle de dados é fundamental: o aumento da tecnologia vem de mãos dadas com o fluxo de dados, de todos os lugares: departamentos internos, fornecedores, agências regulatórias nacionais e internacional, e fontes da indústria.
“A maioria dos CIOs não poderia articular facilmente a localização, a destinação e a interconectividade dos dados de sua empresa”, observou Bates. “Determinar como rastrear toda essa informação, classificá-la, armazená-la e geri-la e, mais importante, protegê-la é um problema terrivelmente complexo.”
A prevenção do risco cibernético em ação
Recentemente, a KPMG auxiliou um de seus clientes a reduzir futuros ciberataques ao revisar os seus processos, procedimentos e operações de gestão de risco. “Esse cliente estava se deparando com ameaças em cibersegurança internas e externas. Por ser conhecido e influente, esse cliente era frequentemente invadido por uma variedade de hackers ao redor do mundo”, notou Bates. “Mais grave ainda: ele fazia negócios com milhares de terceiros, expondo-se a ciberataques potenciais pelo sistema de fornecedores.”
“Depois de revisar detalhadamente as operações e procedimentos desse cliente, suas funções de segurança e a forma como operava, concluímos que sua estrutura de gestão de risco não estava corretamente ligada ao seu ERM. Além disso, TI da empresa, segurança em TI, recursos humanos, jurídico, compliance e departamento de operações operavam em silos”, diz Bates.
KPMG ajudou a empresa a desenvolver um programa de gestão de risco integrado que provia políticas, processos e controles de governança de dados, unindo a função de segurança de TI nos vários departamentos que, antes, trabalhavam em silos. “Com isso, quando um incidente ocorre, vários processos são acionados, mitigando a ameaça,” diz Bates. “Por exemplo, pessoas específicas são notificadas, e passos são dados para corrigir a ameaça, reduzindo seu potencial de danos.”
Passos para evitar ou mitigar ciberataques
Existem diversos passos que um CIO pode tomar para ajudar sua empresa a impedir a invasão de criminosos digitais de seus sistemas de TI, minimizando danos caso a invasão, de fato, ocorra. Embora esse processo seja complexo, é a única forma de combater os ciberataques.
- Consiga um lugar na reunião de diretoria: como CIO, você precisa argumentar à administração que o cibercrime é uma questão de risco estratégico-corporativo. Discuta a cibersegurança em termos de como impactará o negócio – incluindo, perda de receitas, multas e dano à reputação da marca e, pior, ao relacionamento com o consumidor. Ao solicitar fundos, apresente opções em linguagem simples, priorizando o cenário de risco, mostrando informações de forma clara
- Acabe com os silos: para ser efetivo, um plano de segurança contra ciberataques necessita apoio e cooperação dos principais stakeholders de cada departamento. Antes de implementar o plano, assegure-se de que todos os stakeholders sejam ouvidos, de modo que todas as necessidades e vulnerabilidades sejam levadas em conta. Pode ser impossível evitar todos os ciberataques. Todavia, aplicar uma abordagem colaborativa, destruindo silos, pode ajudar a priorizar setores mais vulneráveis, utilizando os recursos de forma sábia.
- Considere terceirizar para combater a falta de profissionais: como notado anteriormente, está cada vez mais difícil – e caro – contratar e manter os melhores profissionais em cibersegurança. Isso é verdade tanto no nível executivo, como também no operacional. O relatório Harvey Nash/KPMG 2017 CIO concluiu que cerca da metade dos CIOs está planejando aumentar a terceirização de atividades de TI. Dessa forma, um terceiro pode oferecer expertise e tecnologia inovadora para tratar dessas questões de TI, pelo menos, até que o CIO consiga montar sua própria equipe. Aproveite-se dos terceiros para ganhar acesso a novas habilidades e poupar dinheiro.
- Use tecnologia para gerir e proteger dados: não há como fugir: você precisará de programas poderosos de D&A para atualizar sua plataforma de gestão de dados. Isso é verdade para empresas grandes e globais com milhares de fornecedores. O risco de terceiros é uma das áreas emergentes mais significativas de preocupação para muitas empresas. A ampla quantidade de dados, sistemas, equipamentos e pessoal ligados a terceiros normalmente não passa por um processo consolidado de avaliação. Usar D&A para identificar, monitorar e gerir continuamente a operação e terceiros é crítico para proteger proativamente a empresa.
- Trate a cibersegurança como um risco corporativo: esse processo deveria, em parte, integrar a cibersegurança à sua estrutura de ERM. Isso lhe permitiria conduzir uma avaliação de risco de segurança, auxiliando na detecção de vulnerabilidades de segurança, bem como na quantificação de riscos de segurança, além de oferecer transparência à administração, ao comitê de auditoria, e às funções de governança e compliance. O próximo passo seria separar os riscos de alta prioridade, inserindo-os nas políticas e controles, fechando o ciclo.
Além disso, a função de TI precisa estar integrada no processo operacional para assegurar que incidentes, problemas, questões e eventos sejam adequadamente geridos em todo o ecossistema de fornecedores e internos. Frequentemente, a TI usa linguagem e processos distintos para gerir questões operacionais comuns que a taxonomia e a estrutura usadas para função de risco corporativo. Por fim, esse processo precisa ser revisado periodicamente para levar em conta o ambiente cada vez mais mutável.
Como os CIOs podem estar um passo adiante?
CIOs e suas empresas precisam atualizar e fortalecer seus programas de cibersegurança. Isso demandará investimento significativo de recursos para manter atualizado com cibercriminosos cada vez mais sofisticados buscando acesso a dados confidenciais de empresas, obter dinheiro ou simplesmente bagunçar as operações. “Contudo, com pessoas e processos instalados, é possível estar à frente dos ciberataques e mitigar a perda potencial de informação e receita”, concluiu Bates.
Artigo traduzido e adaptado do original: Project management guide: Tips, strategies, best practices.