Ao atingir os sistemas de computadores de milhares de usuários e empresas em centenas de países ao redor do mundo, os vírus WannaCry e Petya conseguiram fazer em alguns dias o que a indústria de segurança digital vem tentando há anos: conscientizar a sociedade sobre a gravidade do risco cibernético. De acordo com estimativas da consultoria e corretora de seguros Aon, 100% das empresas do mundo já sofreram algum tipo violação em seus bancos de dados. O problema é que muitas vezes os hackers operam por meses sem nunca serem descobertos.
Diante da impossibilidade de se proteger totalmente de ataques e códigos maliciosos, as empresas precisam tomar alguns cuidados para lidar mais adequadamente com as consequências em casos de violações, explica Jesus Gonzalez, vice-presidente de risco cibernético da Aon.
— Algumas invasões são realmente inevitáveis, mas nem todas elas têm potencial para causar grandes danos. Nós medimos a gravidade de um ataque cibernético pelo número de pessoas impactadas e pelo custo financeiro da solução.
Funcionários desligam computadores da usina de Chernobil após sistema ser alvo de ciberataque
O primeiro passo para mitigar o risco cibernético é transmitir corretamente para todos os funcionários as normas de segurança da informação dentro da companhia, comenta o executivo.
— A conscientização tem que ocorrer em todos os níveis hierárquicos. A liderança precisa compreender o papel de cada um dos colaboradores no processo de garantir a segurança da informação. De todas as ações possíveis, o desenvolvimento da educação organizacional tem o melhor custo benefício.
O segundo passo é desenvolver um plano de resposta a incidentes. Isso é importante para definir papéis, responsabilidades e procedimentos na ocorrência de um evento. Os gestores precisam compreender que em caso de ataques ou vazamentos, toda a empresa será afetada e não apenas o setor de TI (Tecnologia da Informação).
— O plano precisa identificar as responsabilidades compartilhadas por diferentes departamentos. Um problema de segurança da informação pode afetar o desempenho econômico de uma empresa. A direção precisa derrubar as barreiras e integrar diferentes áreas, incluindo Jurídico, TI, Financeiro, Recursos Humanos e Gerenciamento de Riscos. Essas pessoas precisam trabalhar juntas.
Risco cibernético
O especialista ainda aponta que é necessário que as empresas desenvolvam um plano de continuidade dos negócios. Tradicionalmente, as companhias fazem esse tipo de planejamento para lidar com riscos físicos, como incêndios e enchentes, que podem interromper as operações. Com o desenvolvimento tecnológico, é importante levar em conta o risco cibernético, já que ele também tem o potencial de paralisar os negócios.
— A companhia pode arcar com os custos de uma paralisação de sistema? Dependendo da gravidade do ataque hacker, os danos podem ser enormes.
Como essa é uma questão relativamente nova no cenário de riscos, muitas empresas estão compreendendo quais são os custos de ter que lidar com um incidente cibernético do jeito mais difícil: arcando com as consequências.
Smartphone supera computador para acesso de notícias no Brasil, mostra pesquisa
Por fim, o quarto passo para lidar com as consequências de um ataque hacker ou vazamento de informações é implementar um seguro cibernético e revisá-lo periodicamente. Em alguns casos, outras coberturas já existentes, como apólices patrimoniais ou de riscos gerais, podem ser ajustadas para contemplar as exposições identificadas para o risco cibernético
Em outros casos, é melhor contratar um seguro específico para cuidar dessas questões. Compreender a extensão de sua cobertura significa pensar sobre o seguro de forma holística, e não como uma solução somente pontual.