top of page
  • Foto do escritorMarco Túlio Oliveira de Moraes

Cybersecurity está comendo a estratégia no café da manhã

A era das falhas sistêmicas causadas por cyber-attacks

Imagem: markus-spiske / Unsplash

O FBI está investigando uma recente campanha de ransomware que forçou o desligamento de alguns frigoríficos da JBS nos EUA, Canadá e Austrália. Informações prévias apontaram que o ataque cibernético foi operado por um grupo cyber criminoso russo chamado REvil.


Incidentes recentes, como da JBS, Colonial Pipeline, SolarWinds, mostraram a relevância que os riscos cibernéticos possuem na criação de falhas sistêmicas em negócios digitais. Os impactos vão além da própria organização e podem impactar clientes, colaboradores e todo o ecosistema.


Os novos negócios digitais, complexos, disruptivos e interconectados, têm modificado as formas em que as organizações vem atuando para criar, capturar e prover valor. Um grande porém é que os incidentes cibernéticos podem destruir uma cadeia de valor inteira por levarem a falhas sistêmicas.


A Digital Directors Network (DDN), associação global, líder em endereçar riscos sistêmicos em negócios digitais, define o risco sistêmico como: "Risks inherent within complex systems, e.g., the digital business system, that can threaten the purpose of the system.”


Compreender os riscos cibernéticos e sistêmicos e como o risco cibernético influencia um risco sistêmico é crucial para aumentar a resiliência cibernética na nova economia digital.


As ameaças cibernéticas exploram vulnerabilidades em ativos de valor de uma organização (ex: sistemas, dados, clientes, cadeia de suprimentos, etc.). Um sistema de negócios digitais, com vários componentes interconectados e complexos, possui riscos sistêmicos inerentes a ele. A simples ocorrência de um incidente em um componente, pode desencadear um efeito dominó, levando a uma falha completa do sistema.


Foi o caso da Equifax, onde uma fragilidade gerada por um sistema desatualizado somado a um problema no processo de identificação de que esse sistema estava vulnerável, permitiu o cyber-attack que levou ao vazamento de dados pessoais de mais de 143 M de norteamericanos.


O que se viu na sequência foi a falha de boa parte da engrenagem da Equifax: Dados, operações, comunicação e conformidade regulatória. O reflexo é amplamente conhecido: impacto direto em consumidores, colaboradores, acionistas e no ecossistema como um todo.


Causas de um Risco Sistêmico

De acordo com o framework DiRECTOR, publicado pela DDN, existem cinco principais elementos que influenciam os riscos sistêmicos em negócios digitais.

  1. "Replaceability": A viabilidade e facilidade de mudar um componente de um sistema pode impactar diretamente como se irá manter o sistema funcionando em caso de falha.

  2. "Interconnectedness": Os sistemas digitais estão superconectados hoje em dia: open banking, APIs, mídias sociais, omnichannel, nuvem, SaaS, compartilhamento de dados, etc. Quanto mais interconexões existirem, maior será o risco de um componente afetar os demais componentes.

  3. "Size": Na economia Exponencial, quanto maior a massa de dados, de clientes, parceiros, tecnologias, etc., maior será o valor gerado ao sistema de negócio e com isso mais pontos de fragilidade a serem explorados.

  4. "Complexity": A complexidade tem sido inerente a sistemas digitais. Dificultam o entendimento desses sistemas e as abordagens para protegê-los.

  5. "X-Jurisdiction": As regras que a organização precisa seguir, como requisitos de clientes, obrigações regulatórias e expectativas do próprio ecossistema.

Quando olhamos para uma empresa HealthTech, por exemplo, dependente de disputadíssimos Desenvolvedores de software, conectada a um universo de parceiros e sistemas, processando dados pessoais e sensíveis massivamente e sujeita a diferentes requisitos de ecossistema, fica mais claro entender que a complexidade desse processo de criação de valor é um desafio para a proteção do negócio.


Como organizações podem lidar com esse risco

Independentemente da complexidade inerente, é possível definir uma estratégia para endereçar esse desafio.


1. Conheça o seu "sistema de negócio digital"


Em primeiro lugar, procure entender claramente o que é o sistema de negócios digital, como ele cria, captura e fornece valor aos seus stakeholders. As organizações devem entender quais são as partes que integram o sistema e como elas se conectam. Isso dará uma dimensão sobre o que está em jogo.


2. Mapeie os riscos relacionados a esse sistema


Depois de entender o sistema de negócios, mapeie os riscos que podem afetar todo o sistema. Riscos com baixa probabilidade de ocorrência devem ser considerados no portfólio, pois podem impactar uma parte do sistema e gerar o impacto sistêmico.


3. Desenvolva um Programa Estratégico de Cybersecurity


Uma estratégia de segurança cibernética vinculada às metas de negócios é essencial para melhorar a resiliência organizacional. No cenário atual de ameaças cibernéticas, é uma vantagem competitiva manter os negócios funcionando enquanto os mecanismos de segurança permitem que pessoas boas entrem e as ruins causem o menor dano possível.


A estratégia deveria fazer um coffee break com cybersecurity


As organizações precisam entender que o risco cibernético é um risco estratégico, não operacional ou tecnológico. Esse mindset também é um componente da engrenagem, e fundamental para que ela seja mais resiliente.




Comments


Commenting has been turned off.
bottom of page