A era das falhas sistêmicas causadas por cyber-attacks
O FBI está investigando uma recente campanha de ransomware que forçou o desligamento de alguns frigoríficos da JBS nos EUA, Canadá e Austrália. Informações prévias apontaram que o ataque cibernético foi operado por um grupo cyber criminoso russo chamado REvil.
Incidentes recentes, como da JBS, Colonial Pipeline, SolarWinds, mostraram a relevância que os riscos cibernéticos possuem na criação de falhas sistêmicas em negócios digitais. Os impactos vão além da própria organização e podem impactar clientes, colaboradores e todo o ecosistema.
Os novos negócios digitais, complexos, disruptivos e interconectados, têm modificado as formas em que as organizações vem atuando para criar, capturar e prover valor. Um grande porém é que os incidentes cibernéticos podem destruir uma cadeia de valor inteira por levarem a falhas sistêmicas.
A Digital Directors Network (DDN), associação global, líder em endereçar riscos sistêmicos em negócios digitais, define o risco sistêmico como: "Risks inherent within complex systems, e.g., the digital business system, that can threaten the purpose of the system.”
Compreender os riscos cibernéticos e sistêmicos e como o risco cibernético influencia um risco sistêmico é crucial para aumentar a resiliência cibernética na nova economia digital.
As ameaças cibernéticas exploram vulnerabilidades em ativos de valor de uma organização (ex: sistemas, dados, clientes, cadeia de suprimentos, etc.). Um sistema de negócios digitais, com vários componentes interconectados e complexos, possui riscos sistêmicos inerentes a ele. A simples ocorrência de um incidente em um componente, pode desencadear um efeito dominó, levando a uma falha completa do sistema.
Foi o caso da Equifax, onde uma fragilidade gerada por um sistema desatualizado somado a um problema no processo de identificação de que esse sistema estava vulnerável, permitiu o cyber-attack que levou ao vazamento de dados pessoais de mais de 143 M de norteamericanos.
O que se viu na sequência foi a falha de boa parte da engrenagem da Equifax: Dados, operações, comunicação e conformidade regulatória. O reflexo é amplamente conhecido: impacto direto em consumidores, colaboradores, acionistas e no ecossistema como um todo.
Causas de um Risco Sistêmico
De acordo com o framework DiRECTOR, publicado pela DDN, existem cinco principais elementos que influenciam os riscos sistêmicos em negócios digitais.
"Replaceability": A viabilidade e facilidade de mudar um componente de um sistema pode impactar diretamente como se irá manter o sistema funcionando em caso de falha.
"Interconnectedness": Os sistemas digitais estão superconectados hoje em dia: open banking, APIs, mídias sociais, omnichannel, nuvem, SaaS, compartilhamento de dados, etc. Quanto mais interconexões existirem, maior será o risco de um componente afetar os demais componentes.
"Size": Na economia Exponencial, quanto maior a massa de dados, de clientes, parceiros, tecnologias, etc., maior será o valor gerado ao sistema de negócio e com isso mais pontos de fragilidade a serem explorados.
"Complexity": A complexidade tem sido inerente a sistemas digitais. Dificultam o entendimento desses sistemas e as abordagens para protegê-los.
"X-Jurisdiction": As regras que a organização precisa seguir, como requisitos de clientes, obrigações regulatórias e expectativas do próprio ecossistema.
Quando olhamos para uma empresa HealthTech, por exemplo, dependente de disputadíssimos Desenvolvedores de software, conectada a um universo de parceiros e sistemas, processando dados pessoais e sensíveis massivamente e sujeita a diferentes requisitos de ecossistema, fica mais claro entender que a complexidade desse processo de criação de valor é um desafio para a proteção do negócio.
Como organizações podem lidar com esse risco
Independentemente da complexidade inerente, é possível definir uma estratégia para endereçar esse desafio.
1. Conheça o seu "sistema de negócio digital"
Em primeiro lugar, procure entender claramente o que é o sistema de negócios digital, como ele cria, captura e fornece valor aos seus stakeholders. As organizações devem entender quais são as partes que integram o sistema e como elas se conectam. Isso dará uma dimensão sobre o que está em jogo.
2. Mapeie os riscos relacionados a esse sistema
Depois de entender o sistema de negócios, mapeie os riscos que podem afetar todo o sistema. Riscos com baixa probabilidade de ocorrência devem ser considerados no portfólio, pois podem impactar uma parte do sistema e gerar o impacto sistêmico.
3. Desenvolva um Programa Estratégico de Cybersecurity
Uma estratégia de segurança cibernética vinculada às metas de negócios é essencial para melhorar a resiliência organizacional. No cenário atual de ameaças cibernéticas, é uma vantagem competitiva manter os negócios funcionando enquanto os mecanismos de segurança permitem que pessoas boas entrem e as ruins causem o menor dano possível.
A estratégia deveria fazer um coffee break com cybersecurity
As organizações precisam entender que o risco cibernético é um risco estratégico, não operacional ou tecnológico. Esse mindset também é um componente da engrenagem, e fundamental para que ela seja mais resiliente.
Commentaires