Cibersegurança tem o mesmo
significado de Ciber-resiliência?
Você sabe a diferença?
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.
Abril | 2022
A pandemia de Covid-19 e sobretudo o aumento no número de ataques virtuais em escala global, transformaram a cibersegurança em prioridade para líderes corporativos. De acordo com o relatório Global Cybersecurity Outlook 2022, produzido pelo Fórum Econômico Mundial de Davos, o número de ataques de ransomware teve um acréscimo de 151% somente no primeiro semestre de 2021.
Os ataques cibernéticos de ransomware estão entre as 3 principais preocupações dos grandes executivos globais quando o assunto é cibersegurança. Outras preocupações estão integradas com a do ransomware, tais como a engenharia social e o phishing, que são a porta de entrada para os grandes ataques cibernéticos.
As atividades maliciosas internas abrangem situações em que colaboradores atuais ou antigos, ou mesmo parceiros de negócios, utilizam informações privilegiadas para prejudicar a empresa.
Seja qual for a situação de risco que a empresa enfrenta, o consenso entre os participantes do Fórum de Davos é de que tem de haver uma maior integração entre os profissionais da área de fraudes corporativas com os da segurança física e lógica, tanto na iniciativa privada quanto nos órgãos governamentais.
A integração entre os profissionais de segurança e os das demais áreas de negócios é um dos principais desafios das empresas, já que contraria o paradigma de que a área de segurança da informação é a única responsável pela prevenção de ataques cibernéticos. Segundo o relatório Global Cybersecurity Outlook 2022, 92% dos executivos concordam que a segurança cibernética está integrada às estratégias de gestão de riscos corporativos e, em consequência, acha-se integrada ao modelo de negócio e a suas estratégias comerciais. No entanto, apenas 55% dos líderes com foco em segurança concordam com essa afirmação. Muitos desses líderes alegam, por exemplo, não serem consultados em decisões relacionadas à segurança dos negócios. Isso acaba tornando as empresas – ou os órgãos de governo – mais vulneráveis.
Do lado dos executivos, é preciso garantir o envolvimento de profissionais de segurança da informação em decisões estratégicas da empresa e reservar orçamento para a área. Os profissionais de cibersegurança, por outro lado, precisam investir tempo e energia na integração com as áreas de negócios e no treinamento e retenção de talentos.
O relatório liberado pela equipe de Davos mostra que 59% de todos os entrevistados consideram difícil responder de forma eficaz a um incidente de segurança cibernética devido à falta de pessoal capacitado no âmbito de suas equipes.
Cibersegurança X Ciber-resiliência
Para muitas empresas, cibersegurança e ciber-resiliência são conceitos iguais ou até sinônimos, o que é um grande equívoco. Vejamos: cibersegurança é a atividade que consiste em proteger sistemas e dados de possíveis ataques, construindo barreiras para manter as ameaças cibernéticas afastadas dos sistemas e processos críticos da empresa; já a ciber-resiliência é a capacidade da empresa em ultrapassar eventos cibernéticos no âmbito da organização e de seu ecossistema. A empresa deve possuir visão de antecipação para, mantendo-se em condições de suportar, recuperar e adaptar-se. Ou seja, o objetivo é garantir formas de continuidade para manter a operação rodando.
Portanto a área de Cibersegurança contará necessariamente com três características:
1 – contar com controles de segurança para detectar sintomas de ataques;
2 – após haver detectado, de forma antecipada, os ataques, ter condições de barrá-los ou isolá-los;
3 – ter capacidade de se recuperar desses ataques e, ao mesmo tempo, adaptar-se ao contexto do ataque.
O Fator Crítico de Sucesso é a colaboração entre diferentes equipes de cibersegurança para permitir a troca de conhecimentos e experiências. O desafio é convencer as empresas da necessidade de compartilhar informações para que o mercado como um todo aprenda e torne-se mais seguro. É essencial o estabelecimento de parcerias público-privadas com essa finalidade. Infelizmente, no Brasil, ainda estamos longe dessa realidade.
O Fórum de Davos lançou o Centro para Cibersegurança, que reúne mais de mil organizações de todo o mundo, cujos objetivos são fortalecer a colaboração global, entender o futuro da área de cibersegurança e construir uma cultura voltada à ciber-resiliência. É importantíssima a participação das empresas nessa jornada.
Como disse Jeremy Jurgens, managing diretor do Fórum Econômico Mundial:
“O ciberespaço transcende fronteiras. Precisamos, portanto, mobilizar uma resposta global para lidar com desafios de cibersegurança”
Conseguiremos? Desafio que depende de quebra de paradigmas e de acultaramento!