Cyber Risk - Ed. 2021

9. Pelo Amor ou Pela Dor – Lições Aprendidas Pelas Instituições Brasileiras Depois de Milhares de Incidentes Cibernéticos

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Autor:

Domingo Montanaro

Introdução

Tenho 20 anos de experiência com incidentes cibernéticos. Diferentemente de muitos colegas que atuam com segurança da informação na parte preventiva, levo quase duas décadas vendo tudo aquilo que dá “errado” nas corporações que contratam os serviços de minha empresa. Nesse sentido, neste meu capítulo, vou tentar trazer à tona o “sumo” de lições aprendidas dessa experiência de vida, após centenas de “casos” trabalhados.

Brace for impact: o incidente vai acontecer

O leitor já deve ter visto a famosa frase: “Não é questão de se , mas de quando ”.

Por mais cansativo que possa soar esse dizer – afinal de contas, ele é amplamente utilizado pelas áreas comerciais de empresas que querem vender tecnologia, consultoria e treinamento em segurança da informação – há um fundo muito verdadeiro nessa expressão.

Os americanos chamam isso de “ Assume Breach ”: ou seja, no momento de preparar as políticas de segurança da informação, tudo já é pensado levando-se em consideração o que será feito após o risco de um incidente cibernético se materializar.

Essa postura ( assume breach ) é adotada por muitas das maiores empresas e instituições governamentais do planeta.

E já é o entendimento de muitos empresários também, ou seja: se há o bônus do aumento da eficiência operacional causado pelo transformação digital – e a alavancagem do diferencial competitivo das empresas através de inovação baseada em tecnologia da informação– por outro lado, invariavelmente, há o ônus de um novo risco: o famoso cyber risk .

Ok, há um novo risco. Como gerenciá-lo? E quem fica responsável por isso numa corporação?

Essas duas perguntas têm tido respostas bem diferentes ao longo dos últimos 20 anos.

Antigamente, entendia-se o “ cyber risk ” como algo que apenas a área de “ cyber security ” deveria se preocupar. Área essa que, na grande maioria das vezes, reportava-se a uma diretoria de Tecnologia da Informação. Isso, por si só, na minha visão e experiência profissional, demonstrou-se cada vez mais, no passar dos anos, contraproducente.

Façamos uma comparação com um carro

A área de tecnologia da informação é vista como o acelerador do negócio. E, ao ser acionada, comanda um poderoso motor (que pode, em muitos casos, estar diretamente ligado ao core business da empresa). A área de TI está acostumada a dar acesso : colaboração on-line entre funcionários, comunicação via aplicativos de celulares, planilhas dinâmicas, sistemas em que arquivos podem ser compartilhados e uma miríade de outras funcionalidades que, no fim do dia, habilitam cada vez mais a transformação digital que alavanca tantas empresas atualmente para proporcionar um retorno maior para seu (s) acionista (s).

Já a área de segurança da informação 2 é vista, por muitas áreas de diversas empresas, como a vilã – um conjunto de pessoas que vai trabalhar todos os dias para inviabilizar o trabalho de outras pessoas. É claro que isso não é verdade  – e os colegas da área de segurança da informação têm se reinventado para serem vistos, cada vez mais, como enablers , ou seja, viabilizadores de negócios.

Além dessa discussão de acelerador ( TI )  versus freio ( segurança da informação ) já ser, por si só, o cúmulo da improdutividade e ineficiência corporativa, ela também inibe um tema fundamental de ganhar a devida atenção do corpo diretivo das empresas:

Quem é o cinto de segurança? Quem é o airbag? Onde ficam os cyber extintores?

A “luta” de times de segurança da informação contra ciberataques não é uma luta justa. De um lado, empresas brasileiras estão batalhando arduamente para ter times de elite em segurança da informação – o que, convenhamos, é praticamente impossível levando em …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
24 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1250394486/9-pelo-amor-ou-pela-dor-licoes-aprendidas-pelas-instituicoes-brasileiras-depois-de-milhares-de-incidentes-ciberneticos-cyber-risk-ed-2021