GESTÃO DE RISCO CIBERNÉTICO EM ALERTA MÁXIMO!

Documentos relacionados
Especialistas: empresas e órgãos públicos devem melhorar segurança cibernética

Segurança de dados: como proteger as informações corporativas? Rogério Winter IIC do Brasil

Por que você precisa de um plano de resposta a incidentes?

Comitê Estratégico de Segurança em Instalações CESI / ABRAGE

Carros conectados e a cibersegurança: um risco crescente. Por Tom Srail (*)

1. Introdução PUBLIC - 1

Ativos Críticos: Habilidades Recursos

5. DISCUSSÃO Relevância

Contexto Tecnológico

Recomendação de políticas Prevenção de crimes cibernéticos modernos

Especialista fala sobre riscos cibernéticos, principais coberturas e como se prevenir contra ataques

Política de Segurança Cibernética

Rabobank Segurança Cibernética

Cibersegurança. A seguir, vamos apresentar um resumo dos principais conceitos associados à segurança que são abordados no setor de TI.

POLÍTICA DE GESTÃO, INTEGRIDADE, RISCOS E CONTROLES INTERNOS MGI MINAS GERAIS PARTICIPAÇÕES S.A.

POLÍTICA ORGANIZACIONAL

SSC120 - Sistemas de Informação Segurança em Sistemas de Informação

Ataques cibernéticos: ameaças reais ao mundo globalizado. Rogério Winter Workshop Departamento de Segurança CIESP Campinas 22 de Agosto de 2018

ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS DE MÍDIA DIGITAL E A GESTÃO DE RISCOS CORPORATIVOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Facebook X Cambridge Analytica

Centro de Comunicação Social do Exército

SPIN-SP - Software Process Improvement Network de São Paulo

VIOLAÇÃO DE DADOS E SEGURANÇA DA INFORMAÇÃO: Balanceando proteção e exigências regulatórias

POLÍTICA DE RESPONSABILIDADE SOCIOAMBIENTAL DO BANCO DA AMAZÔNIA

Gerenciar crises com confiança

3/9/2011. Segurança da Informação. Segurança da Informação. O que é Segurança e seguro? Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas

Possibilidade de ocorrência de perdas decorrentes de danos socioambientais.

Avanços em segurança cibernética e privacidade de dados Março de 2017

política de sustentabilidade política de SUSTENTABILIDADE

Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi

Recomendação de políticas Acesso governamental aos dados

SOLO NETWORK. Guia De Criptografia

Segurança e Controle em Sistemas de Informação. Profa. Ellen Francine ICMC-USP

PROJETO RUMOS DA INDÚSTRIA PAULISTA

Como ser um influenciador dentro da empresa? Isabela Pimentel - Comunicação Integrada Amcham RJ 09/11/2018

Riscos Cibernéticos. Tendências, Desafios e Estratégia de Defesa

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

PROGRAMA COMPROMISSO COM A VIDA _ O COMPROMETIMENTO COM A CULTURA DE SMS NA PETROBRAS EVENTO APTEL

GUIA PARA REPENSAR SUA SEGURANÇA DE TI. Resposta ao desafio de segurança de um cenário de TI dinâmico

Abaixo, o Profº. Marcos Assi lista algumas dicas para o combate de fraudes na empresa.

o papel do conselheiro em face do novo cenário corporativo Fernando Lohmann

POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO

Política de Responsabilidade Sócio Ambiental

O papel da Auditoria quanto a. Seminário Regional Norte de Auditoria Interna AUDIBRA 27 de agosto de Belém (PA)

Ética, Governança e Compliance. Marcelo Coimbra

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

e Desafios das Empresas Conferência Preocupações, Desafios e Oportunidades para as Empresas Fórum Tecnológico Lisboa

TÜV Rheinland: Tendências de cibersegurança para 2018

Aspectos Jurídicos da Investigação: o que pode ou não ser investigado

Lançando Campanhas de RP Digital de Sucesso

Mantenha a porta aberta para usuários e fechada para hackers

A importância da conscientização em ambientes corporativos para evitar prejuízos com ransomware. Yuri Alexandro CAIS/RNP

POLÍTICA DE CONFORMIDADE

POLÍTICA DE SEGURANÇA CIBERTNÉTICA, SEGURANÇA DE INFORMAÇÃO E CONTINUIDADE.

Segurança da Informação

Por dentro da ETL Compliance

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE

QUEM SOMOS. global compliance

COMPLIANCE E GESTÃO DE PROCESSOS

Código de Ética, Normas e Condutas Compliance CPGeo

REVISÃO PARA P2 LINGUAGENS PROF. ANTONIO

USAR O CATÁLOGO DE CASOS. Use o Yammer como seu espaço de trabalho social e deixe que a colaboração, a inovação e o envolvimento comecem.

GIR - Gestão Integrada de Riscos

Sucessão em Empresa Familiar

Linha Direta de Integridade FAQ s. cofcointernational.com

Sistemas de Informação (SI) Segurança em sistemas de informação (II)

BLINDAGEM LEGAL DE INOVAÇÃO TECNOLÓGICA PARA BANCO DIGITAL

EDUCAÇÃO 4.0: conheça quais são as mudanças da nova educação

Fazer errado pode ser pior do que não fazer nada. Há muito perigo em incorporar maus hábitos

Visite mosyle.com e blog.mosyle.com Mosyle. Todos os direitos reservados.

Ciberataques e ameaças virtuais: como enfrentar esta realidade

Desafios tributários para o crescimento sustentável. Page 1

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

AS REDES SOCIAIS CORPORATIVAS ESTÃO REVOLUCIONANDO O MERCADO, MAS COMO CONVENCER SEU CHEFE A ADERIR A ELAS?

PAG64 CAPÍTULO 9 VIDA DIGITAL. #aulachata

Tudo sobre uma empresa de segurança patrimonial

40º. CONAC & 32º. CONAEC. Compliance como diferencial competitivo. Abril de 2018

Checklist. Sua empresa está preparada para gerir crises nas redes sociais?

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Segurança e Auditoria de Sistemas

A Ponte Digital: As Tecnologias Aproximando a Escola e a Família. 9ª Jornada Internacional de Educação do Rio de Janeiro Marcos Cordiolli

POLÍTICA DE COMPLIANCE

Hackers, traidores e violações de dados na era da dependência cibernética

O risco de Incidentes cibernéticos lidera a lista de riscos para empresas Brasileiras em 2018

Tema Segurança Hídrica Painel: Pedro Roberto Jacobi, Procam e FE/USP

Indústria 4.0: você está preparado? Janeiro de 2018

Escolhendo a melhor opção para sua empresa

POLÍTICA CORPORATIVA 2018

BANCO LUSO BRASILEIRO S.A.

Transcrição:

GESTÃO DE RISCO RISCO CIBERNÉTICO EM ALERTA MÁXIMO! 32 REVISTA RI Junho 2015

Como a sua empresa lida com a segurança da informação? A ameaça cibernética é uma realidade no mercado e coloca em risco o que as instituições têm de mais valioso: a informação. A segurança da informação tornou-se um ponto crucial para a sobrevivência das instituições e esse assunto não deve ser tratado apenas do âmbito da Tecnologia da Informação (TI), mas através de uma governança corporativa consciente e responsável. Essa consciência tem que começar de cima, e o Conselho de Administração tem um papel importantíssimo a desempenhar neste combate, que deve ser atacado de forma sistêmica. É um trabalho educativo, de informação, conscientização e capacitação, que envolve mudar a cultura e a forma que a gestão é feita. por MONIQUE AZEREDO Toda empresa é vulnerável, principalmente quando há dados digitais. Tem sempre alguém querendo entrar no seu sistema, ressalta Jeffry Powell, vice-presidente executivo da Diligent Boardbooks, empresa americana que oferece soluções de segurança na informação para Conselhos de Administração. Durante evento promovido pela Revista RI em parceria com a Diligent, Powell citou pesquisas que apontam que no ano passado 43% das empresas nos Estados Unidos tiveram os seus dados violados, e que a maior parte das violações é resultado de erro humano. Ele destaca que apesar das empresas terem alguma tecnologia de proteção ou sistema antivírus, a maior parte delas não treina os seus funcionários quando o assunto é segurança da informação. Tecnologia é importante, mas quem controla são as pessoas, e se elas não estiverem bem treinadas e conscientes do risco, fica uma porta aberta para a ação do hacker, afirma. Powell cita várias técnicas, como o wi fi de um restaurante ser substituído pelo wi fi hackeado, possibilitando ao criminoso entrar no seu sistema. Outra maneira é o que ele chama de fishing que ocorre quando o usuário JEFFRY POWELL, DILIGENT Junho 2015 REVISTA RI 33

GESTÃO DE RISCO recebe um email do seu banco, por exemplo, solicitando digitar a sua senha. Na verdade você nunca sabe o que o hacker vai fazer e a grande preocupação é que algumas empresas demoram meses até descobrirem que tiveram os seus dados violados, conta. O vice-presidente da Diligent ainda revela que 27% das empresas americanas não contam com um plano de resposta à violação de dados. Quando perguntadas se estão confiantes de que o Conselho da sua instituição adota medidas preventivas contra o risco cibernético, 63% responderam um pouco, 23% disseram não estar confiantes e apenas 15% que sim. PATRICIA PECK PINHEIRO, PPP ADVOGADOS Para Powell, é fundamental que a empresa adote um plano que identifique quando há algum tipo de violação de dados e estabeleça medidas para conseguir deter. A instituição deve ter um plano de contenção, saber como reagir e como responder ao mercado. Não adianta esconder, porque isso só vai prejudicar. Precisamos ter políticas adequadas para tratar esse assunto, e se uma empresa não possui, pode ser fatal ao negócio. É importante ter uma cultura de gestão de mudança, e o Conselho tem que entender isso e saber como as outras pessoas estão agindo nessas situações. A responsabilidade é de todos!, alerta. Ao capacitar os seus colaboradores quanto a esses riscos, a empresa se blinda em eventuais incidentes porque pode comprovar que fez a sua parte nesse processo de educação. Muitas empresas preferem apenas reconhecer os danos decorrentes de ataques cibernéticos como perda, a fim de proteger a confiança em seus sistemas e em suas marcas e evitar impactos negativos à instituição. Especialistas afirmam que é preferível combater o incidente com uma resposta rápida, um posicionamento oficial sobre o fato, a fim de evitar as especulações na internet, que são um risco ainda maior para a marca, de crise de imagem digital. Patricia Peck Pinheiro, advogada especialista em Direito Digital e Segurança Cibernética da PPP Advogados, acrescenta que não implementar boas práticas para prevenir risco de vazamento de informação é vista por especialistas como uma atitude negligente. Patricia alerta para a importância de investir na capacitação de colaboradores e parceiros sobre a proteção da privacidade digital, tanto de dados pessoais quanto corporativos, a fim de se proteger contra violação de dados confidenciais ou essenciais ao sucesso do negócio. Ao capacitar os seus colaboradores quanto a esses riscos, a empresa se blinda em eventuais incidentes porque pode comprovar que fez a sua parte nesse processo de educação, diz. 34 REVISTA RI Junho 2015

A advogada diz que a cultura no Brasil sobre riscos digitais ainda é bastante incipiente. Durante o evento, Patricia questionou aos participantes se as empresas adotam por exemplo alguma regra de conduta sobre o CEO ou CFO baixar qualquer aplicativo gratuito em seu smartphone pessoal. Indagou ainda quantos dos presentes possuíam algum sistema antivírus nos seus celulares e se algum assunto confidencial da Companhia é discutido via WhatsApp. A possibilidade de vazar uma informação no WhatsApp é grande porque muitos não usam antivírus e adotam sistema de segurança no celular. É como deixar uma informação aberta na sua mesa, alerta. Ela explica que o trabalho de conscientização em segurança da informação necessita de um plano de educação contínua, que vai além do ambiente corporativo, e pode ser iniciado até antes da pessoa integrar a empresa, como em escolas, universidades, em campanhas públicas para o cidadão. Ela acrescenta que esse treinamento deve alcançar inclusive o cuidado que um colaborador tem que ter com comentários e publicações em perfis pessoais de mídias sociais. A blindagem precisa ser completa, pessoal e profissional, para aí sim, criar o hábito da segurança digital. O estagiário que se comunica através do twitter pode ser o CEO no futuro, e pequenas informações que geram vulnerabilidade estão no dia a dia das pessoas, mas só temos o start no momento do incidente, alerta. No entanto essa é ainda uma discussão recente, na qual muitas empresas sequer incluíram este tema em suas pautas. Lidar com a segurança da informação requer investimento e dedicação de uma boa parcela de tempo, e um dos maiores desafios que vejo hoje nas empresas é como destinar horas das equipes e dos altos executivos em treinamentos preventivos para aumentar a segurança empresarial, que abrange desde a patrimonial à digital. Precisamos rever a agenda obrigatória dos executivos, e esta pauta tem que estar mais presente, destaca. Patricia conta que muitas empresas realizam um evento anual, ou uma palestra, de presença não obrigatória, e os chefes normalmente não comparecem, o que está muito aquém do que é necessário para gerar uma mudança de cultura. Peck ressalta que quanto mais alto o cargo do executivo, maior o nível de conhecimento de informações relevantes da empresa, e portanto mais intenso deve ser o seu treinamento em segurança, pois 20% dos executivos de alto escalão detêm 80% das informações confidenciais de uma companhia. Eles precisam ser os primeiros a serem conscientizados - tem que ser de cima para baixo - e alcançar inclusive a camada de profissionais ao redor deles, como motoristas, secretárias, equipe de limpeza e de vigilância. Esta é a linha de frente, principalmente do executivo que viaja muito, está sempre em mobilidade e tem que saber proteger os dados da empresa onde quer que vá, e não somente dentro da empresa, diz. Em uma sociedade digital, sem muros, um dos grandes desafios é blindar o conselho contra vazamento de informações. Alguém pode estar de olho em você e qualquer um de qualquer lugar pode atacar. Vivemos na era dos ativos intangíveis e isso pode afetar o valor de ação. Patricia revela que estudos demonstram que companhias com forte proteção de seus ativos intangíveis possuem resultados financeiros mais estáveis. Ela explica que a segurança da informação já está presente em mais de 1/3 dos relatórios anuais das Companhias com capital aberto, o que reflete a importância deste tema, que ultrapassa a área de TI e alcança o alto escalão das Companhias. Envolve um compromisso do Conselho em adotar medidas que buscam mitigar riscos e reduzir incidentes. A necessidade da empresa adotar uma postura proativa já é cobrada pela SEC (Securities and Exchange Commission) e segue como tendência global, ressalta. No entanto, quanto ao combate às ameaças e ao terrorismo cibernético, ela diz que ainda estamos longe de sermos eficientes, pois em uma sociedade global, sem fronteiras físicas, a atuação da autoridade ainda está muito restrita a um território geográfico, e as questões envolvendo legitimidade para agir e a soberania dos países geram uma barreira na perseguição destes grupos criminosos, que acabam agindo de forma quase intocável. Precisamos aprimorar muito o diálogo internacional e a capacidade de atuação conjunta das polícias, e a burocracia é um grande limitador para aumentarmos nossa proteção. Não é tarefa fácil, pois vivemos o paradoxo entre a privacidade do indivíduo e a segurança pública digital da coletividade. Há que se chegar a um consenso mais amplo, se não toda forma de vigilância acaba sendo interpretada como espionagem ou invasão de privacidade, diz. Junho 2015 REVISTA RI 35

GESTÃO DE RISCO Paulo Conte Vasconcellos, conselheiro profissional e sócio da ProxyCon, empresa de assessoria em Governança Corporativa, alerta para o fato do governo e das empresas não estarem dedicando atenção e recursos para combater os riscos cibernéticos. A internet trouxe um mundo sem fronteiras e não há nenhum computador que não possa ser hackeado. Quem está conectado está vulnerável, e um ataque cibernético contra uma empresa não é uma questão de se, mas de quando. PAULO CONTE VASCONCELLOS, PROXYCON A internet trouxe um mundo sem fronteiras e não há nenhum computador que não possa ser hackeado. Quem está conectado está vulnerável, e um ataque cibernético contra uma empresa não é uma questão de se, mas de quando. Os criminosos atualizam constantemente as suas técnicas e modus operandi. Em 2013 a Kaspersky, empresa produtora de softwares de segurança para a Internet, identificou a existência de cerca de 200.000 novos malwares diariamente (softwares indesejados que causam alguns danos, alterações ou roubo de informações). Já a Verizon, uma das maiores empresas de telecomunicações no mundo, aponta que 62% dos ataques levam no mínimo dois meses para serem detectados, e 75% dos hackers são bem sucedidos ao penetrarem nas empresas em questão de minutos. A Gartner empresa americana de pesquisa e consultoria tecnológica, estima que em 2017 o investimento em software de segurança alcance o montante de US$ 94 bilhões. Em 2012 esse valor foi de US$ 20 bilhões. A reputação de uma empresa é vital para o negócio, e neste sentido não tem preço que pague o investimento que se fizer necessário para protegê-la e não ter a sua imagem destruída diante de um ataque. Não imaginamos a dimensão do risco que envolve esse assunto, destaca. Trata-se de um tema ainda desconhecido, mas que requer a atenção das empresas. De acordo com Paulo Vasconcellos, o Conselho precisa criar políticas e diretrizes relacionadas ao tema e estabelecer uma série de ações, como estimular a conscientização de executivos e colaboradores; assegurar-se da existência de programas educacionais e de comunicação; exercer constante vigilância sobre como o tema está sendo tratado pelos executivos; interagir com auditores e área de gestão de riscos e garantir a existência de respostas aos incidentes. Sandra Guerra, presidente do IBGC - Instituto Brasileiro de Governança Corporativa - e da Better Governance -, diz que o nível de consciência do conselho em relação à segurança cibernética é naturalmente maior em empresas que estão mais expostas pelas atividades que exercem, e/ou que estão inseridas em um ambiente regulado, e os seus profissionais buscam melhores práticas e referências de mercado nacio- 36 REVISTA RI Junho 2015

nais e internacionais nesse assunto. Mas no geral, a executiva diz que a adoção de um conjunto de práticas robustas para o conselho monitorar os riscos cibernéticos ainda é pouco disseminado, e no âmbito da gestão ainda é um assunto emergente. Quando sabemos de casos de empresas que tiveram seus dados violados é que a dimensão foi tão grande que é impossível omitir tamanha magnitude. E os casos menores acabam sendo objetos de estudo, e o mundo inteiro está aprendendo com esses casos públicos. O que a gente conhece é a ponta do iceberg, pois a maior parte dos casos é mantida em sigilo, diz. Sandra reforça que o risco cibernético precisa ser entendido como risco corporativo, e não está restrito apenas à área e ao conhecimento tecnológico, mas que envolve um entendimento do modelo de negócio da empresa e a sua estratégica, para poder entender o risco que pode sofrer. Quando a empresa está montando a sua estratégia, ou lançando o seu produto, ela deve desde já incluir aspectos de vulnerabilidade e modelos de gerenciamento de risco. Isso já deve estar embutido desde o seu nascimento, mas ainda é uma recomendação inovadora. A executiva recentemente esteve nos Estados Unidos participando de dois eventos sobre segurança cibernética e diz que essa discussão é tão recente, mesmo em mercados onde há mais consciência sobre esse risco, que ainda envolve como devemos desenvolver práticas para que o Conselho lide melhor com esse risco, se esse assunto deveria ser alocado em comitês, e de que forma deve haver uma comunicação entre gestão e conselho sobre os riscos cibernéticos. O conselheiro de alguma forma tem que saber como lidar bem com todos os riscos, inclusive o cibernético, se capacitar aprender e entender os pontos centrais e não apenas o detalhamento da tecnologia. Ao mesmo tempo o conselho sempre pode utilizar experts para ver se o modelo de gestão de risco que está sendo usado está sendo robusto, diz. O IBGC entende que a gestão de risco deve ser tratada como elemento fundamental e que requer a atenção dos conselheiros, para que saibam lidar com esse tema de forma efetiva. O IBGC vai contribuir desenvolvendo competências para ajudar o mercado a se proteger de possíveis ataques, finaliza Sandra. RI SANDRA GUERRA, IBGC E BETTER GOVERNANCE O conselheiro de alguma forma tem que saber como lidar bem com todos os riscos, inclusive o cibernético, se capacitar aprender e entender os pontos centrais e não apenas o detalhamento da tecnologia. Junho 2015 REVISTA RI 37

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback