Skip to main content

Artigo

Considerações fundamentais para a construção de resiliência ao risco cibernético

Outubro, Mês de Conscientização sobre Segurança Cibernética, oferece uma oportunidade de reforçar a importância da implementação de medidas importantes que podem fazer uma diferença significativa no seu caminho para a resiliência.

O risco cibernético permanece cada vez mais presente, oferecendo uma oportunidade para implementar medidas-chave que podem fazer uma diferença significativa em sua jornada rumo à resiliência.

As ameaças cibernéticas em constante mudança e potencialmente mais caras estão mantendo a questão em alta na lista de preocupações das organizações. E isso passou de um problema do departamento de TI para um que faz, e até impulsiona, a agenda nas reuniões do conselho.

Isso ressalta a importância crucial de as organizações se prepararem agora para assegurar seu futuro. Os riscos cibernéticos representam ameaças disruptivas significativas, podendo surgir em qualquer ponto da cadeia de suprimentos — inclusive em níveis mais profundos, muitas vezes inesperados. Embora não exista uma solução mágica para gerenciar esses riscos, implementar, até mesmo, controles básicos de cibersegurança, boas práticas, e garantir que sejam mantidos, pode melhorar significativamente sua resiliência cibernética.

Passos fundamentais para a resiliência começam com controles

A resiliência contra riscos cibernéticos está avançando bem. Isso se deve, em grande parte, ao foco das organizações no básico – priorizar e implementar controles de segurança cibernética eficazes e robustos.

Esses controles podem incluir medidas como controles de acesso rigorosos, atualizações regulares de software, criptografia de dados confidenciais e autenticação de múltiplos fatores.

Essas melhorias incrementais se acumulam rapidamente, podendo reduzir significativamente o risco de ataques cibernéticos e violações — inclusive contra invasores sofisticados.

Compreender as oportunidades e ameaças cibernéticas em evolução

As ameaças cibernéticas evoluem à medida que novas tecnologias são implantadas e atores maliciosos adaptam suas táticas.

Atualmente, a inteligência artificial (IA) é uma fonte de otimismo e preocupação. Muitas organizações estão explorando o uso de ferramentas de IA para fortalecer suas defesas cibernéticas, por exemplo, filtrando a enxurrada de alertas gerados, de modo que apenas os mais urgentes sejam encaminhados a um analista humano. No entanto, também há preocupação com invasores usando IA para encontrar vulnerabilidades ou até mesmo escrever código malicioso.

Os riscos relacionados à cadeia de suprimentos e aos terceiros estão se tornando cada vez mais relevantes na agenda de segurança. Mesmo organizações com sistemas internos seguros e bem gerenciados muitas vezes desconhecem o nível de segurança de seus terceiros, especialmente daqueles mais distantes na cadeia, como fornecedores de nível inferior. Um terceiro comprometido pode causar interrupções ao tornar um fornecedor indisponível e criar uma via de entrada para que invasores se infiltrem nas organizações conectadas.

O risco da cadeia de suprimentos também se estende a questões como a privacidade. Terceiros frequentemente lidam com dados sensíveis que, se expostos, podem ter consequências, incluindo danos à reputação e sanções regulatórias, como as previstas pela LGPD no Brasil. Os EUA ainda não adotaram uma postura tão rigorosa em relação à privacidade, mas mudanças são esperadas.

Construir em direção a uma maior resiliência cibernética

Essas etapas iniciais para gerenciar e entender ameaças cibernéticas complexas e em evolução podem fornecer uma perspectiva melhor do seu ambiente de risco cibernético.

Para fortalecer ainda mais a resiliência, você precisa avaliar e medir o apetite de risco cibernético da sua organização. Algumas perguntas essenciais a serem feitas incluem:

  • Quais ativos e serviços são críticos para o negócio e devem ser absolutamente protegidos?
  • Qual seria o custo — em termos financeiros, de tempo e de danos à reputação — caso haja uma exposição ou interrupção?

Com isso em mente, você pode decidir quais etapas são razoáveis para proteger a pegada digital da sua organização.

Você também pode decidir o que seria necessário para se recuperar de forma eficiente e eficaz.

  • Concentre-se em maneiras de recuperar operações críticas para o negócio em caso de uma interrupção.
  • Use exercícios de mesa, avaliações de fornecedores e estudos de caso para ajudar a determinar quais devem ser as medidas adequadas de defesa e recuperação.
  • Estabelecer processos e políticas robustos, para que todos saibam o que devem fazer no dia a dia e quando uma crise se materializar.

Por fim, desenvolva um plano de recuperação de incidentes e realize testes periódicos para garantir sua eficácia.

Aproveite os recursos-chave para melhorias

As melhorias de segurança não precisam ser caras. Há muitos recursos disponíveis para ajudar.

As organizações devem fazer uso de especialistas internos e garantir que eles estejam envolvidos no planejamento de novas plataformas de segurança cibernética e nas respostas a riscos cibernéticos.

Parceiros experientes também podem ajudar. Por exemplo, a Marsh oferece uma equipe de produtos, uma equipe de modelagem, uma equipe de consultoria e o maior banco de dados de risco cibernético do mercado. Transformamos esse banco de dados em insights, mitigação de riscos e opções financeiras, além de soluções que permitem que você entenda, mensure e gerencie seu risco cibernético.

Existem recursos adicionais disponíveis de governos e organismos internacionais, que frequentemente publicam normas e listas de verificação que podem ser aplicadas de forma econômica para proteger o ambiente cibernético da sua organização. Veja, por exemplo, a Agência de Segurança Cibernética e de Infraestrutura (CISA) e o Instituto Nacional de Padrões e Tecnologia (NIST) nos EUA, e o Centro Nacional de Segurança Cibernética (NSCS) no Reino Unido.

As organizações também podem se conectar com redes informais, como organizações parceiras e associações comerciais. Essas redes podem frequentemente ajudar na troca de melhores práticas e oferecer avisos sobre riscos emergentes.

Mantenha as melhores práticas durante todo o ano

No cenário em constante mudança das ameaças cibernéticas, não há linha de chegada.

É essencial não negligenciar a importância de manter as melhores práticas de resiliência a riscos cibernéticos e usar inteligência de ameaças para se antecipar a potenciais riscos. É importante reconhecer que manter a resiliência dos negócios em meio às crescentes complexidades dos riscos cibernéticos empresariais, operacionais e de terceiros deve ser um esforço contínuo ao longo do ano.

Insights relacionados