ARTIGO | CARLOS SANTIAGO

Risco cibernético se torna um risco corporativo

Nível de ameaças no Brasil está próximo do registrado nos Estados Unidos e compromete operações e reputação das empresas, além da resiliência da cadeia de suprimentos, ressalta líder da Marsh

por Carlos Santiago*
29/07/2016 – 10:34
Atualizado em 11/08/2016 – 07:52
Carlos Santiago, líder de riscos da Marsh.
Carlos Santiago, líder de riscos da Marsh.

O ataque cibernético está entre as ameaças que mais preocupam executivos C–Level das empresas no mundo todo. Segundo a mais recente pesquisa da Marsh, Emerging Risks: Anticipating Threats and Opportunities Around the Corner, feita com 700 líderes globais, 61% dos respondentes apontaram que este risco passou a ser prioridade na agenda de suas respectivas empresas.

Não é para menos que a percepção a respeito do risco cibernético tem crescido exponencialmente no mundo empresarial. Em 2015, por exemplo, o WikiLeaks disponibilizou os mais de 30 mil dados e 17 mil e-mails vazados no ataque à Sony. Além disso, no mesmo ano, cerca de 30 milhões de clientes do site de relacionamento extraconjugal Ashley Madison foram expostos após um ataque cibernético e o maior número de inscritos estavam localizados na cidade de São Paulo.

O índice de ataques a redes no Brasil é alto. Dados da Pesquisa Global de Segurança da Informação 2016 da PwC apontaram que o número de ataques cibernéticos aumentou sete vezes mais no Brasil em relação à média mundial em 2015. Enquanto no mundo o avanço foi de 38%, no Brasil atingiu 274% — um total de 8.695 casos. E o valor médio das perdas financeiras causadas por estes ataques no país chegou a US$ 2,45 milhões.

A Symantec, especializada em serviços de antivírus, segurança, Internet e antispyware, alertou em seu recente relatório que o sequestro de dados cresceu 35% em todo o mundo no ano de 2015. No Brasil, são registrados em média 72 casos diários, o que põe o país na 22ª colocação entre os maiores alvos do planeta. Neste modelo de ataque para sequestro de dados, o criminoso acessa as informações da vítima, criptografa-as e cobra um resgate para não usá-las ou para devolvê-las ao proprietário legítimo. Os Estados Unidos lideram com folga esta estatística, segundo a Symantec. Cinquenta e seis porcento de todos os ataques deste tipo registrados no mundo ocorrem em empresas norte-americanas.

Analisando estes dados, pode-se afirmar que os níveis de ameaças e ataques no Brasil já estão próximos aos dos Estados Unidos. Os segmentos relacionados à área financeira e varejo (principalmente e-commerce) ainda são os mais atacados pelos hackers, além das áreas de saúde e educação que têm aparecido constantemente nas listas de possíveis alvos.

As indústrias em geral também sofrem com tal problema, pois são vulneráveis, visto que a área de automação industrial ainda possui tecnologias obsoletas. O cenário é propício a possíveis invasões e espionagem industrial, pois muitas empresas ainda não possuem um ambiente controlado e monitorado.

O risco cibernético não é apenas uma ameaça de informática. É um risco de toda a empresa. A segurança contra o cibercrime deve ser integrada ao sistema de gerenciamento de risco, ou seja, ao Enterprise Risk Management (ERM) da organização, desempenhando um papel crítico de monitoramento e com o gestor de riscos oferecendo assessoramento especializado para dar suporte à tomada de decisões.

Estes riscos também ameaçam a reputação das empresas e a resiliência de suas cadeias de suprimento uma vez que causa danos a terceiros. Os executivos C–Level, em especial, devem entender que o risco cibernético é um risco corporativo.

*Carlos Santiago, Risk Consulting Practice Leader da Marsh Risk Consulting.