Considerações sobre as
Fontes de Riscos Cibernéticos
Décio Luís Schons, CIEAI, CEGRC, CIGR, CISI
General-de-Exército da Reserva, é Vice-Presidente de Operações de Consultoria da empresa Brasiliano INTERISK
Fevereiro | 2023
Em textos anteriores, verificamos a necessidade e a conveniência do trabalho metódico na tarefa nem sempre simples de determinar o conjunto de riscos de toda ordem que povoam a vida administrativa das organizações, sejam elas governamentais, sejam pertencentes a qualquer um dos diferentes ramos da iniciativa privada.
Vimos que sistemas de gerenciamento de riscos visam, idealmente, à prevenção, isto é, a evitar que o risco se materialize. Caso essa ação não obtenha o efeito desejado e o risco venha a se concretizar, deve-se de imediato partir para a sua mitigação, de modo a reduzir o impacto dele na empresa. Essencial para que esta segunda linha de conduta possa ter lugar é a existência de toda uma sistemática de gerenciamento de riscos planejada, implantada, praticada.
Vimos que o risco nada mais é que a consequência indesejável da presença de seus dois componentes: as fontes de risco (também conhecidas como fatores de risco ou causas de risco) e a exposição do alvo a essas fontes. Quando se fala de prevenção do risco, existem basicamente duas linhas de conduta: pode-se, de um lado, eliminar ou reduzir a expressão das fontes de risco; do outro lado, pode-se eliminar ou reduzir a exposição do alvo aos efeitos delas.
Para clarificar a questão das fontes de risco, vamos fazer uso do risco cibernético mais falado em nossos dias, qual seja o ataque cibernético. O phishing, comumente citado como um risco cibernético, nada mais é que uma fonte desse risco – uma devastadora fonte de riscos cibernéticos que tantos danos vem causando às corporações em todo o mundo. A mensagem de phishing pode ser recebida pelo funcionário da empresa e permanecer na caixa de entrada por tempo indefinido, sem causar qualquer dano. O ataque cibernético só se processa quando ocorre a exposição: o operador pouco cuidadoso, curioso ou dotado de boa-fé que decide clicar no link para abri-lo e libera o trojan (cavalo de troia) que desencadeia, a partir dali, a infecção do computador e da rede a que ele está conectado. Na sequência, pode-se esperar a criptografia e o sequestro de dados e, um pouco mais adiante, a exigência do pagamento de um resgate, no desenrolar do ataque cibernético conhecido como ransomware. Ficou aí evidenciada uma segunda e determinante fonte de risco cibernético, qual seja, o despreparo dos colaboradores das empresas para o trabalho em rede.
O tratamento das fontes de riscos cibernéticos (com a implantação dos chamados controles), nesse caso, impõe ação muito proativa, no âmbito da TI, para impedir a entrada nos sistemas corporativos de mensagens cuja origem não seja perfeitamente reconhecida e cujo conteúdo não tenha sido avaliado e reconhecido como inofensivo à integridade dos sistemas. Outra medida impositiva, tratando agora da segunda fonte de risco mencionada, é a capacitação dos colaboradores em todos os níveis, do chão de fábrica à alta administração, para que não abram, de forma alguma, mensagens suspeitas ou de que não conheçam a procedência.
É necessário que se determinem, de forma sistemática, as fontes de risco, sem esquecer que algumas delas são comuns a diversos riscos. A uma primeira análise, salta aos olhos que quanto maior o número de riscos originados da mesma fonte de risco, mais relevante ela será.
A seguir, iremos citar algumas das fontes de riscos cibernéticos mais comuns e tecer ligeiros comentários sobre elas, com a ressalva de que esta lista não é, de forma alguma, exaustiva.
-
A ampla disseminação do uso da internet em todas as áreas da atividade humana, abrindo oportunidades de atuação aos criminosos do espaço cibernético.
-
A falta de atualização dos equipamentos de informática e dos sistemas de TI e TO, muitas vezes por desleixo ou falta de atenção de usuários e administradores.
-
A utilização de senhas fracas, mantendo-as por longos períodos, para acessar os diversos sistemas e aplicativos utilizados pelo usuário.
-
A utilização das mesmas senhas e credenciais em diferentes sistemas e aplicativos.
-
A inexistência ou fragilidade dos sistemas de gestão de riscos cibernéticos utilizados pelas corporações.
-
A pouca atenção dedicada aos riscos cibernéticos pelos integrantes da alta administração das empresas, muitas vezes movidos pela falta de conhecimento técnico, o que os compele a “deixar esse assunto por conta de quem entende”. Acontece que o pessoal técnico muitas vezes não tem conhecimento de quais são os sistemas críticos para o negócio e, na tentativa de defender toda a frente, acaba enfraquecendo todo o perímetro. É necessário que as chefias nos níveis operacional e estratégico trabalhem em estreita ligação com os especialistas de TI, para que os processos e os sistemas de criticidade mais elevada recebam a devida prioridade na aplicação de recursos.
-
As deficiências na capacitação do pessoal em todas as áreas sobre a maneira adequada de operar os equipamentos conectados à rede constituem uma das fontes de riscos mais exploradas. Essas lacunas de capacitação proporcionam ao intruso a oportunidade de ter acesso aos sistemas e apoderar-se do controle de todas as operações daquela organização. É desnecessário dizer que a fonte de risco aqui mencionada tem sua relevância potencializada pelas conexões cada vez mais estreitas entre os sistemas de TI e os de TO, o que pode franquear ao hacker acesso pleno às linhas de produção e aos demais sistemas finalísticos das corporações.
Pudemos assim verificar algumas noções importantes sobre fontes de riscos e estabelecer a diferença desse conceito para o conceito de risco. Da correta e exaustiva análise das fontes de riscos, dos riscos que a partir delas podem se concretizar, dos controles a serem estabelecidos para eliminar ou minimizar umas e outros resultará, certamente, a confecção de planos de ação eficientes, eficazes e que atendam ao interesse das organizações.
Caso haja interesse de sua empresa em aprofundar-se nesse ou em outros temas afetos ao gerenciamento de riscos, contate a Brasiliano INTERISK, uma empresa que oferece soluções de Inteligência e Gestão de Riscos com base na Interconectividade, conferindo total transparência aos processos de Governança, Riscos e Compliance.
O Software INTERISK é uma plataforma tecnológica e automatizada que integra diversos módulos e disciplinas – entre eles, a disciplina Gestão de Riscos Cibernéticos – compostos de diferentes disciplinas. Isso garante a abrangência e a integração de todos os processos em um único framework.