A constatação é da área de Engenharia de Riscos da seguradora, que mostra a necessidade de implementação de uma medida de prevenção essencial: o Plano de Resposta a Incidentes, que deve estar alinhado à gestão de riscos das companhias
O ano de 2021 está sendo marcado por diversos eventos de incidentes cibernéticos, como ataques de hackers tanto em empresas particulares quanto em órgãos públicos. O fenômeno não é recente, tende a ser cada vez mais comum e já estava no radar, como ameaça de risco altíssimo no curto prazo, de acordo com um dos mais respeitados levantamentos mundiais sobre o assunto: o 16ª Relatório de Riscos Globais 2021, feito pela Zurich e outras entidades e que foi divulgado na mais recente conferência do Fórum Econômico Mundial, ocorrida em janeiro.
Localmente, no dia 16 de julho de 2021, foi publicado pelo Governo Federal o Decreto nº 10.748, que visa a manter as medidas de prevenção, tratamento e resposta a incidentes cibernéticos, de forma coordenada entre todos os órgãos da administração pública federal, seguindo a Política Nacional de Segurança da Informação. Ainda que a legislação diga respeito a entidades e autarquias das três esferas de poder, o assunto joga luz às empresas da iniciativa privada, que cada vez mais precisam saber o que fazer numa situação que ameace ou mesmo paralise suas atividades.
Aqui entra o Plano de Resposta a Incidentes, cuja existência faz a diferença para a prevenção e a gestão dessas e de outras ocorrências. Nenhuma empresa está isenta de passar por uma situação inesperada – tanto que o crescimento no número de intrusões nos sistemas de corporações de todo o mundo durante o 1º semestre de 2021 foi 125% maior que o registrado no mesmo período do ano passado, segundo a consultoria Accenture. E é por isso que a Gestão de Incidentes é tão importante quanto o core business da empresa.
Explica Lilian Moura dos Anjos, Engenheira de Riscos Cibernéticos da Zurich no Brasil: “Gestão de incidentes são as ações que uma empresa toma para prevenir ou conter o impacto de um incidente enquanto este está ocorrendo ou brevemente após ter ocorrido. O processo de resposta a incidentes deve estar muito bem alinhado às políticas estabelecidas e aos objetivos de negócios da companhia”.
De acordo com Lilian, recomenda-se que todo Plano de Respostas a Incidentes baseie-se em boas práticas de mercado, que incluem seis fases. A primeira é a Preparação, que lista como a companhia deve estar pronta para agir diante de um incidente. A segunda diz respeito à Identificação, que trata dos critérios para detectá-lo. A terceira enumera como contê-lo: Contenção. Em seguida, vem a quarta fase, a Erradicação, que lista as etapas para eliminar a causa-raiz do problema. O que fazer para restabelecer a normalidade de todos os sistemas, configura-se na quinta fase, que é a Recuperação. Por fim, a última e não menos importante, a fase das Lições aprendidas, que discorre sobre o que fazer para que os mesmos erros não ocorram novamente.
“A inobservância de qualquer uma delas determina o sucesso ou o fracasso na gestão de incidentes – que não deve ser aplicada apenas na execução durante a ocorrência de um evento, visando à sua mitigação, mas também na maneira de preveni-lo”, pondera.
A especialista também recomenda que as corporações, mesmo aquelas que já possuem Planos de Respostas a Incidentes, os testem periodicamente e não os deixem arquivados – leia-se “esquecidos”, seja literalmente ou armazenados na rede da empresa. Ela provoca: “Por que, por exemplo, uma determinada companhia faz, todos os anos, o mesmo exercício de evacuação do prédio em caso de incêndio? Porque a população da companhia muda, porque há alterações de design e porque a prática permite que sejam observados diversos indicadores que precisam ser constantemente revistos e recalibrados, para o caso de o exercício se tornar uma prática necessária frente a um evento real”.
Engenharia de Riscos, área que ajuda as companhias no Plano de Resposta a Incidentes
No Brasil, uma das mais reconhecidas empresas seguradoras, a Zurich, oferece um serviço diferenciado nesse mercado, por dispor de uma área que, entre outras atividades, ajuda as empresas no Plano de Resposta a Incidentes. Trata-se do departamento de Engenharia de Riscos, que atua com três grandes frentes.
- A primeira é na análise prévia da maturidade de segurança da informação das empresas, auxiliando-as na transferência de risco por meio da apólice de seguro cibernético e no entendimento do cenário atual.
· Na segunda frente, a área opera como consultoria, podendo ser contatada caso haja interesse por clientes e não clientes da Zurich, apoiando-os na implementação de melhoria de riscos, treinamentos, implantação do Plano de Resposta a Incidentes, entre outros.
· A terceira frente da área diz respeito ao compartilhamento de conhecimento e material técnico de forma a apoiar o mercado para que seus clientes tenham riscos cada vez melhor gerenciáveis e, por consequência, carteiras mais saudáveis no mercado segurador.
“Segundo análises da área de Engenharia de Riscos da Zurich, feitas nos últimos anos, apenas 3 de cada 10 empresas avaliadas possuem um plano de resposta a incidentes formalizado”, revela a Engenheira de Riscos Cibernéticos da Zurich no Brasil, Lilian Moura dos Anjos. “Em linha com o objetivo de compartilhar conhecimento e apoiar o mercado a conquistar riscos mais saudáveis, desenvolvemos um documento para auxiliar as empresas a observarem todas as questões que envolvem um Plano de Respostas a Incidentes”, completa.
“Não é por acaso que a sabedoria milenar diz que é melhor prevenir do que remediar. Mas se for preciso fazê-lo, que tudo esteja documentado e testado para que os danos sejam atenuados o máximo possível”, finaliza.
O documento a que Lilian se refere está disponível em seu site. Aliás, a Zurich disponibiliza amplo conteúdo informativo sobre esse e outros temas relacionados à gestão de riscos. Basta acessar este LINK.