De cada 10 empresas, apenas 3 estão aptas a responder a ataques cibernéticos, aponta Zurich
Seguradora mostra a necessidade de implementação do Plano de Resposta a Incidentes, que deve estar alinhado à gestão de riscos das companhias
Zurich - 15 de Setembro de 2021O ano de 2021 está sendo marcado por diversos eventos de incidentes cibernéticos, como ataques de hackers tanto em empresas particulares quanto em órgãos públicos. O fenômeno não é recente, tende a ser cada vez mais comum e já estava no radar, como ameaça de risco altíssimo no curto prazo, de acordo com um dos mais respeitados levantamentos mundiais sobre o assunto: o 16ª Relatório de Riscos Globais 2021, feito pela Zurich e outras entidades e que foi divulgado na mais recente conferência do Fórum Econômico Mundial, ocorrida em janeiro.
Localmente, no dia 16 de julho de 2021,
foi publicado pelo Governo Federal o Decreto nº 10.748, que visa a manter as medidas de prevenção, tratamento e
resposta a incidentes cibernéticos, de forma coordenada entre todos os órgãos
da administração pública federal, seguindo a Política Nacional de
Segurança da Informação. Ainda que a legislação diga respeito a entidades e
autarquias das três esferas de poder, o assunto joga luz às empresas da
iniciativa privada, que cada vez mais precisam saber o que fazer numa situação
que ameace ou mesmo paralise suas atividades.
Aqui entra o Plano de Resposta a Incidentes,
cuja existência faz a diferença para a prevenção e a gestão dessas e de outras
ocorrências. Nenhuma empresa está isenta de passar por uma situação inesperada
– tanto que o crescimento no número de intrusões nos sistemas de corporações de
todo o mundo durante o 1º semestre de 2021 foi 125% maior que o registrado no
mesmo período do ano passado, segundo a consultoria Accenture. E é por isso que
a Gestão de Incidentes é tão importante quanto o core business da empresa.
Explica Lilian Moura dos Anjos, Engenheira
de Riscos Cibernéticos da Zurich no Brasil: “Gestão
de incidentes são as ações que uma empresa toma para prevenir ou conter o
impacto de um incidente enquanto este está ocorrendo ou brevemente após ter ocorrido.
O processo de resposta a incidentes deve estar muito bem alinhado às políticas
estabelecidas e aos objetivos de negócios da companhia”.
De acordo com Lilian, recomenda-se que todo Plano de
Respostas a Incidentes baseie-se em boas práticas de mercado, que incluem seis fases. A primeira é a Preparação, que lista
como a companhia deve estar pronta para agir diante de um incidente. A segunda
diz respeito à Identificação, que trata dos critérios para detectá-lo. A
terceira enumera como contê-lo: Contenção. Em seguida, vem a quarta
fase, a Erradicação, que lista as etapas para eliminar a causa-raiz do
problema. O que fazer para restabelecer a normalidade de todos os sistemas,
configura-se na quinta fase, que é a Recuperação. Por fim, a última e
não menos importante, a fase das Lições aprendidas, que discorre sobre o
que fazer para que os mesmos erros não ocorram novamente.
“A inobservância de qualquer uma delas
determina o sucesso ou o fracasso na gestão de incidentes – que não deve ser
aplicada apenas na execução durante a ocorrência de um evento, visando à sua
mitigação, mas também na maneira de preveni-lo”, pondera.
A especialista também recomenda que as corporações,
mesmo aquelas que já possuem Planos de Respostas a Incidentes, os testem
periodicamente e não os deixem arquivados – leia-se “esquecidos”, seja
literalmente ou armazenados na rede da empresa. Ela provoca: “Por que, por
exemplo, uma determinada companhia faz, todos os anos, o mesmo exercício de
evacuação do prédio em caso de incêndio? Porque a população da companhia muda,
porque há alterações de design e porque a prática permite que sejam observados
diversos indicadores que precisam ser constantemente revistos e recalibrados,
para o caso de o exercício se tornar uma prática necessária frente a um evento
real”.
Engenharia de Riscos, área que ajuda as companhias no
Plano de Resposta a Incidentes
No Brasil, uma das mais reconhecidas empresas
seguradoras, a Zurich, oferece um serviço diferenciado nesse mercado, por
dispor de uma área que, entre outras atividades, ajuda as empresas no Plano de
Resposta a Incidentes. Trata-se do departamento de Engenharia de Riscos, que
atua com três grandes frentes.
- A primeira é na análise prévia da maturidade de
segurança da informação das empresas, auxiliando-as na transferência de
risco por meio da apólice de seguro cibernético e no entendimento do
cenário atual.
· Na segunda frente, a área opera como consultoria,
podendo ser contatada caso haja interesse por clientes e não clientes da
Zurich, apoiando-os na implementação de melhoria de riscos, treinamentos,
implantação do Plano de Resposta a Incidentes, entre outros.
· A terceira frente da área diz respeito ao
compartilhamento de conhecimento e material técnico de forma a apoiar o mercado
para que seus clientes tenham riscos cada vez melhor gerenciáveis e, por
consequência, carteiras mais saudáveis no mercado segurador.
“Segundo análises da área de Engenharia de Riscos da
Zurich, feitas nos últimos anos, apenas 3 de cada 10 empresas avaliadas possuem
um plano de resposta a incidentes formalizado”, revela a Engenheira de Riscos
Cibernéticos da Zurich no Brasil, Lilian Moura dos Anjos. “Em linha com o
objetivo de compartilhar conhecimento e apoiar o mercado a conquistar riscos
mais saudáveis, desenvolvemos um documento para auxiliar as empresas a
observarem todas as questões que envolvem um Plano de Respostas a Incidentes”,
completa.
“Não é por acaso que a sabedoria milenar diz que é
melhor prevenir do que remediar. Mas se for preciso fazê-lo, que tudo esteja
documentado e testado para que os danos sejam atenuados o máximo possível”,
finaliza.
O documento a que Lilian se refere está disponível em
seu site. Aliás, a Zurich disponibiliza amplo conteúdo informativo sobre esse e
outros temas relacionados à gestão de riscos. Basta acessar este LINK.