A elevação do número de incidentes cibernéticos fez com que as empresas busquem a adequação aos padrões de segurança de modo a fortalecer a resiliência a ataques cibernéticos de todos os ecossistemas aos quais estão inseridas.
A preocupação das empresas com riscos cibernéticos foi crescente nos últimos anos, e acentuou-se durante a pandemia, uma vez que os projetos de transformação digital e adaptação ao “novo normal” tiveram seus tempos de concepção e implantação encurtados e acelerados.
O cenário pandêmico, juntamente com a aceleração digital das empresas, provocou um aumento no número de incidentes cibernéticos, conforme dados do relatório IBM X-Force Threat_Intelligence_2021.
Diante deste cenário e com a preocupação das empresas com a “blindagem” cibernética de seus ecossistemas, houve uma mobilização por parte de autarquias, agências reguladoras e associações de empresas, no sentido de promoverem e fomentarem boas práticas para a implementação de controles cibernéticos por parte das empresas que fazem parte do ecossistema, promovendo assim a elevação de maturidade e aumentar a resiliência a ataques cibernéticos dos envolvidos.
Resoluções, regulamentações e frameworks com objetivo comum – aumentar a resiliência a ataques cibernéticos do ecossistema
Na vanguarda deste processo, o Banco Central do Brasil, em 2018, através da Resolução nº 4.658, estabelecia controles para estruturação de política cibernética por parte das instituições autorizadas por esta autarquia, bem como estabeleceu processos para avaliação de seus fornecedores no momento da contratação, de modo a certificar que as empresas que compõem o ecossistema financeiro possuam controles cibernéticos. Neste ano de 2021, uma nova Resolução (n° 4893) foi publicada, com alterações mínimas e complementares ao que estava disposto na Resolução n° 4658.
Outro setor da economia altamente regulado, o elétrico, também tem buscado consenso para a definição de uma regulamentação de controles cibernéticos para infraestrutura de missão crítica com o objetivo de mitigar o risco de ocorrência de incidentes de segurança cibernética no setor elétrico. Ainda que não haja um consenso, a alternativa definida consiste em criar marcos regulatórios (enforcement regulatório) para estabelecer que agentes do setor estabeleçam uma política de segurança cibernética.
“Independentemente do setor ou ecossistema no qual a empresa está inserida, o objetivo destas resoluções, regulamentações ou frameworks é aumentar a resiliência a ataques cibernéticos dos atores envolvidos, uma vez que, além da troca de informações e/ ou interconexões sistêmicas entre as empresas, há uma interdependência de processos e atividades, por exemplo, se pensarmos no setor industrial”, explica Eduardo Camolez, sócio da Safeway, consultoria especializada em Segurança, Risco e Compliance.
Neste sentido, a indústria automotiva também tem se preocupado com o tema de riscos cibernéticos e em adequar as empresas envolvidas em seu ecossistema. Recentemente, a IATF 16949, ainda que tenha o foco em qualidade, publicou uma atualização para a cobertura de controles cibernéticos, uma vez que o setor possui uma grande integração entre as empresas e, em caso de um incidente cibernético, todo o ecossistema poderia ser impactado.
Preocupação com riscos cibernéticos deve manter-se em alta
As empresas buscam adequação de seus ambientes, seguindo as diretrizes para implantação de controles cibernéticos, de acordo com as resoluções, regulamentações e frameworks, contudo, é cada mais comum a busca por um seguro cibernético, de modo a cobrir, ao mesmo tempo, riscos patrimoniais e responsabilidade civil, em caso de ocorrência de um incidente cibernético. Somente no ano de 2021 houve um aumento de mais de 130%.
Importante ressaltar que o seguro deve ser um controle complementar na estratégia cibernética da empresa e que o nível de sua maturidade cibernética impactará diretamente na sua contratação, sendo, portanto, indispensável ter um plano de adequação que habilitará a empresa a manter-se apta a desenvolver negócios em seu ecossistema.
Para Eduardo Camolez, a preocupação com a resiliência a ataques cibernéticos das empresas só vai aumentar. “É notável o aumento de demanda por projetos de continuidade de negócios, ou revisão destes nos últimos meses. Vale ressaltar que o processo de continuidade engloba outros tipos de riscos, não somente cibernéticos”, afirma.