O recente apagão cibernético global acendeu um alerta para os impactos de incidentes cibernéticos de diversas naturezas e a necessidade urgente de fortalecer a resiliência cibernética em todo o ecossistema organizacional.
Entrevistamos Vanessa Carvalho, sócia-fundadora da CCL Projetos Transformacionais, professora da LEC e especialista em gestão de riscos cibernéticos, para nos dar um panorama aprofundado dos impactos do evento, das lições aprendidas e das principais tendências de ameaças cibernéticas que as empresas devem se preocupar nos próximos anos.
LEC: Como o apagão cibernético global da última sexta-feira reforça a necessidade de uma visão mais ampla e integrada da gestão de riscos cibernéticos?
O recente apagão cibernético global serviu como um lembrete poderoso sobre a interconectividade e a interdependência do mundo atual.
Vanessa destacou que não é mais suficiente ter uma visão isolada dos controles de tecnologia. “A falta de atualização ou a atualização indevida de um software de um terceiro pode gerar impactos significativos na sua operação”, afirmou ela.
Para Vanessa, uma visão abrangente da cadeia de negócios e seus processos é essencial. Incidentes cibernéticos podem afetar diversas dimensões além da operacional, incluindo as estratégicas, de conformidade e reputacionais.
“O apagão reforça a importância de se fortalecer a resiliência cibernética”, enfatizou, destacando que não se trata apenas de manter controles adequados, mas de garantir uma recuperação rápida e a continuidade das operações com a menor fricção possível para usuários e clientes.
LEC: Quais foram os impactos específicos do apagão para diferentes setores da economia?
O impacto do apagão cibernético foi sentido em diversos setores da economia, com efeitos significativos em áreas críticas. No setor financeiro, transações foram interrompidas, causando atrasos em pagamentos e transferências. Nos Estados Unidos, bancos como JPMorgan e Bank of America enfrentaram instabilidades em seus sistemas online, enquanto corretoras na Europa, incluindo a Bolsa de Valores de Londres, relataram problemas.
O setor de transporte também sofreu grandes interrupções. “Voos foram adiados devido a problemas de comunicação, afetando aeroportos nos Estados Unidos, Austrália, Hong Kong, Alemanha e Inglaterra”, relatou Vanessa. Sistemas de bilhetagem em metrôs de Nova York e São Paulo foram afetados, causando atrasos significativos.
Na área da saúde, hospitais em Nova York e Califórnia tiveram dificuldades no acesso a registros eletrônicos de saúde, resultando em atrasos em tratamentos e diagnósticos. “Um amigo meu, que mora no Canadá, enfrentou dificuldades na entrada de sua esposa em trabalho de parto na maternidade”, compartilhou Vanessa, destacando o impacto pessoal e humano desses incidentes. Redes de farmácias na Alemanha e França também enfrentaram problemas na gestão de estoque, atrasando a entrega de medicamentos.
O apagão afetou ainda redes de supermercados na França e Itália, plataformas de comércio eletrônico como Amazon e Alibaba, e empresas de petróleo no Oriente Médio. Serviços governamentais online nos Estados Unidos e Índia ficaram indisponíveis, complicando o acesso a documentos e licenças essenciais para os cidadãos. “Há relatos de que o sistema de emergência 911 nos Estados Unidos foi afetado em alguns estados, incluindo Califórnia e Texas”, completou Vanessa.
LEC: Que lições as empresas podem tirar do apagão cibernético para fortalecer sua postura de segurança digital?
Segundo Vanessa Carvalho, as principais lições são:
- Consciência da Realidade: Incidentes cibernéticos podem acontecer em qualquer organização, independentemente do nível de maturidade em segurança da informação. Organizações mais maduras tendem a ter impactos menores por já terem controles e planos de continuidade de negócio consolidados e continuamente revisados e testados, mas elas não deixam de ser alvo. Por isso, esse é um tema que requer atenção constante. Por outro lado, organizações menos maduras dificilmente escapam de uma grande crise depois de sofrer um incidente cibernético, passando por prejuízos financeiros significativos e afetando sua relação de confiança com os clientes, sejam eles pessoas físicas ou jurídicas.
- Cultura de Segurança: Desenvolver e fortalecer uma cultura de segurança da informação em toda a organização, conscientizando colaboradores sobre os riscos e treinando-os para agir de forma segura.
- Visão Sistêmica: Mapear e compreender o ecossistema cibernético da empresa, incluindo inventário de ativos de sistemas e processos em toda a cadeia de suprimentos, incluindo a identificação de vulnerabilidades e interdependências.
- Resiliência Cibernética: Construir um plano de continuidade de negócio robusto, com estratégias e recursos testados periodicamente para garantir a rápida recuperação em caso de incidentes.
- Desenvolvimento de equipe multidisciplinar de Gestão de Crises: Investir na capacitação de equipes multidisciplinares para lidar com crises cibernéticas de forma eficaz, integrando áreas técnicas, de negócio e a Alta Administração, com papéis e responsabilidades claramente definidos.
LEC: Quais são as principais tendências em ciberataques que as empresas devem se preocupar nos próximos anos?
As tendências em ciberataques estão se tornando cada vez mais sofisticadas. Vanessa Carvalho aponta que ataques de phishing estão evoluindo com o uso de deepfakes e inteligência artificial para criar áudios e vídeos falsos, facilitando o roubo de dados. “A sofisticação também aumenta quando o objetivo é explorar falhas desconhecidas em softwares antes que possam ser corrigidas”, afirmou ela.
Ransomwares estão se tornando mais avançados, utilizando técnicas complexas de criptografia que dificultam a recuperação de dados. Além disso, hackers estão comprometendo fornecedores e parceiros de negócios menores para acessar redes de empresas maiores, explorando vulnerabilidades em cadeias de suprimentos.
LEC: Quais diferenciais os profissionais que trabalham com gestão de risco precisam ter?
Indo direto ao ponto, Vanessa respondeu:
“Profissionais que trabalham com gestão de riscos precisam ter visão sistêmica, boa capacidade de comunicação com times de diversas especialidades, bastante resiliência e inteligência emocional. Não podem se descolar dos desafios estratégicos e operacionais do negócio e precisam olhar para fora com atenção às transformações na forma como os seres humanos estão se relacionando entre si, com o tempo e com a tecnologia e os reflexos globais dessas transformações.”
É crucial que esses profissionais estejam atentos às transformações tecnológicas e seus impactos globais, por isso, completou:
“Em um mundo com grande e rápido avanço de novas tecnologias, como a inteligência artificial (para o bem e para o mal) e de alta interconectividade e interdependência, é imperativo conhecer os desafios e soluções para uma melhor gestão de riscos cibernéticos, atuando com um facilitador entre as áreas técnicas, as áreas de negócio e a Alta Administração.
Pensando nisso, eu e a LEC montamos o curso de Gestão de Riscos Cibernéticos para Profissionais de Riscos e Compliance, visando descomplicar o tema por meio de uma linguagem acessível e objetiva, mas trazendo os desafios e complexidades enfrentados pelos profissionais de cibersegurança, muitas vezes desconhecidos ou minimizados pela Alta Administração ou pelas áreas de negócio, incluindo a própria área de tecnologia pressionada para subir novos desenvolvimentos para produção. Fortalecer e equalizar esse diálogo é fundamental para o desenvolvimento da resiliência organizacional adequada frente aos novos desafios.”
Entre para este ramo com o conhecimento que você precisa
Acompanhe as tendências e prepare-se para enfrentar os desafios do futuro com o curso de Gestão de Riscos Cibernéticos para Profissionais de Riscos e Compliance da LEC.
Aprenda a fortalecer a segurança digital da organização que você trabalha ou presta serviço, desenvolva uma visão sistêmica e aprimore suas habilidades de comunicação com times multidisciplinares. Você vai sair com todas as ferramentas e estratégias que precisa para atuar na prevenção, mitigação e rápida reação a incidentes cibernéticos.
Inscreva-se agora e transforme a maneira como você gerencia os riscos digitais.
