-
Gestão eficiente da cadeia de suprimentos hospitalar
Consolidação, redução de custos de aquisições, padronização e otimização do processo de compras
-
Auditoria interna hospitalar
Solução de data analytics para execução de auditoria interna focada no setor da saúde, garantindo maior agilidade e precisão na tomada de decisões
-
RN 443 – Implantação geral e emissão de PPA
Maiores controles internos e gestão de riscos para fins de solvência das operadoras de planos de assistência à saúde
-
RN 452 – Apoio da estruturação da auditoria interna de compliance
Avaliação de resultados das operadoras de saúde para assegurar conformidade legal em seus processos
-
Relatório SOC 2
Com Relatório SOC, certificação e parecer independente é possível agregar credibilidade aos beneficiários do setor de saúde sobre os processos internos e controles
-
Energia e tecnologia limpa
Soluções para para geradores, investidores ou concessionárias prestadoras de serviços públicos que desejam investir no mercado de energia sustentável.
-
Petróleo e Gás
Auxiliamos sua empresa na procura de opções de financiamento, gerenciamento de risco e na criação de legitimidade local para operar.
-
Mineração
Construção de força de trabalho com mais mobilidade, entendimento das alterações da legislação e elaboração de processos para gerenciar riscos de corrupção.
Segurança digital: investir apenas em tecnologia não é o suficiente
25 jul. 2019Aumentando a conscientização sobre segurança digital
As empresas podem ter softwares de segurança virtual sofisticados, mas isso não eliminará a possibilidade de ocorrer erros humanos que estão por trás de muitas violações digitais. Afinal, são pessoas que respondem a e-mails de phishing e instalam softwares não autorizados.
Com o investimento mais elevado das empresas em sistemas de segurança cibernética do que na educação e conscientização dos funcionários, portanto, não é surpresa que o excesso de confiança na tecnologia seja visto como um ponto fraco no gerenciamento do risco digital.
Os negócios podem resolver isso aumentando a conscientização de todos os funcionários sobre segurança virtual. Mas como? Afinal de contas, as empresas têm realizado webinars de segurança cibernética e programas de treinamento obrigatórios por muitos anos, mas o erro humano continua a levá-las a ataques cibernéticos. É necessária uma nova abordagem.
Christos Makedonas, líder de risco tecnológico da Grant Thornton Chipre, diz que formatos de treinamento mais curtos ajudariam. "Ninguém tem tempo para assistir a vídeos de treinamento de uma hora. Eles devem ser encurtados para no máximo dois minutos. Você também precisa de lembretes visuais - como banners no escritório e mensagens nas telas - para lembrar as pessoas das melhores práticas”.
“As empresas deveriam simular tentativas de phishing, para que os funcionários que respondessem a essas tentativas pudessem receber um treinamento adicional”, ele completou. “Descobrimos que esses tipos de programas de treinamento têm muito mais êxito que os seminários online convencionais”.
Identifique as vulnerabilidades primeiro, invista depois
As empresas precisam entender suas vulnerabilidades quanto aos ataques cibernéticos e as brechas na proteção de seus dados antes de investir em software preventivo. Isso requer habilidades especializadas que a maioria das empresas não possui.
“As empresas precisam reunir habilidades relacionadas à privacidade para ajudar no mapeamento de dados e no entendimento de suas especificações - particularmente em um ambiente de nuvem”, diz Mike Harris, sócio da área de Cyber Security da Grant Thornton Irlanda.
O executivo pontua, ainda, que as organizações também precisam buscar habilidades tecnológicas diretamente relacionadas às tecnologias utilizadas em suas unidades/matrizes. “Por exemplo, se você estiver usando um serviço de nuvem fornecido pela Amazon ou pelo Azure, precisará ter habilidades de segurança interna para descobrir o que eles farão e não farão em relação à segurança virtual. Esse conjunto de habilidades é frequentemente ignorado”, reforça.
Tecnologia analítica avançada requer mentes analíticas avançadas
Muitas empresas direcionaram grande volume de investimento em tecnologias avançadas de segurança cibernética analítica que ajudam a identificar novas ameaças e vulnerabilidades.
Mas essas tecnologias são tão boas quanto às pessoas que podem interpretar os resultados e implementar as alterações correspondentes.
"Muitas pessoas veem a tecnologia como uma solução mágica, mas não é", diz James Arthur, sócio e diretor de Cyber Consulting da Grant Thornton. “Muitas empresas gastam muito dinheiro com software de segurança cibernética analítica comportamental orientado por IA, o que pode ser realmente útil em algumas circunstâncias, mas você normalmente precisa gastar muito tempo treinando-o para garantir insights úteis. Então você precisa de um humano no final da cadeia que possa olhar para a saída e fazer/aprovar as mudanças”.
A demanda crescente do cyber seguro
“Existem dois tipos de empresas: aquelas que já foram hackeadas e aquelas que ainda serão. E ambas estão se convergindo numa só categoria: empresas que foram hackeadas e serão hackeadas novamente”.
Estas são as palavras do ex-diretor do FBI Robert Mueller, em 2012.
Sua mensagem é clara - e tão relevante hoje quanto há sete anos: uma brecha é inevitável. É um forte argumento para motivar o investimento em seguros que ajudem a mitigar o impacto de ataques cibernéticos, e não apenas em softwares para evitá-los.
“Qualquer programa de risco digital razoável precisa ter um elemento de detecção, resposta e cobertura, porque eventos cibernéticos vão acontecer”, diz Mike Harris. “Observamos uma adoção cada vez maior de seguros que abrangem ataques cibernéticos e violações regulatórias de privacidade de dados. Mas, embora seja imperativo e seu uso esteja aumentando, a maioria das empresas ainda não tem esse tipo de seguro”.
As empresas podem supor que seu seguro geral cobre ataques cibernéticos, mas elas podem ter uma surpresa desagradável. Por exemplo, a seguradora Hiscox está atualmente contestando uma reivindicação do escritório de advocacia DLA Piper - provavelmente em milhões de libras – baseando-se no fato de que a companhia de seguros não tinha uma política específica de segurança digital.
Recusando a cobertura legalmente
Nem mesmo empresas com seguro cibernético possuem conforto total. As seguradoras podem se recusar a pagar se considerarem o ataque como um ato de guerra, caso que pode ser discutido se tal ataque for iniciado por agentes estatais.
"Ter seguro é ótimo, mas o truque está nos detalhes", explica James Arthur. "Temos visto as seguradoras tentando achar uma saída no seu dever com a cobertura, alegando que determinado ataque foi rastreado até um grupo estatal".
Além disso, as políticas cibernéticas podem conter cláusulas que exigem que as empresas instalem atualizações e patches frequentes. Não fazer isso pode resultar na falta de pagamento pelas seguradoras no caso de um incidente.
“Algumas políticas exigem que as empresas mantenham seu gerenciamento de patches atualizado com muito mais frequência do que estão acostumadas - ou gostariam, devido à paralização que isso pode causar nos negócios”, acrescenta Arthur.
As empresas devem, portanto, examinar os detalhes de seu cyber seguro forense para garantir que estejam cobertos e possam cumprir com suas condições.
Colabore com as seguradoras
O seguro contra riscos digitais está em alta, principalmente no exterior, mas a sofisticação das ofertas de seguros não é evidente. Essa é a visão dos líderes empresariais pesquisados no IBR da Grant Thornton. De maneira surpreendente, mais de dois terços acreditam que a indústria de seguros precisa melhorar sua oferta para empresas acerca dos riscos de privacidade.
"O mercado de seguros de violação de dados cibernéticos está longe de ser tão maduro quanto outros mercados de seguros", explica Christos Makedonas. “As seguradoras estão atualmente lutando para avaliar os riscos porque as empresas têm diferentes vulnerabilidades. Duas empresas do mesmo setor e do mesmo tamanho podem ter uma cultura diferente e usar tecnologias diferentes, o que dificulta muito na avaliação de valor do risco”.
"Mas é muito importante para as empresas explorar isso e trabalhar com as seguradoras para impulsionar o mercado".
Cinco recomendações para criar uma abordagem equilibrada. Confira:
As abordagens tradicionais para treinamento cibernético não estão funcionando. As empresas devem desenvolver vídeos de treinamento mais curtos e regulares, além de simular tentativas de phishing para melhor educar seus colaboradores.
As empresas precisam de recursos para identificar e mapear suas vulnerabilidades digitais. Elas precisam recrutar funcionários com habilidades cibernéticas especializadas que complementem os softwares utilizados em campo. Isso garantirá que o investimento em software preventivo seja mais adequado.
Todas as empresas sofrerão um ciberataque, não importa o quanto invistam em software preventivo. O seguro comum pode não cobrir estes tipos de ataque, portanto, as empresas devem explorar um seguro específico contra riscos digitais que cubra ataques cibernéticos e violações de privacidade de dados.
O mercado de seguros cibernéticos é relativamente imaturo. Assim, as empresas devem fazer com que as seguradoras entendam e foquem nas vulnerabilidades específicas do negócio, para que o risco seja precificado de forma eficaz.
Uma vez que o seguro estiver sendo avaliado, as empresas devem estar atentas quanto à adesão aos termos e condições. Se eles não conseguirem instalar atualizações, isso poderá anular o seguro.
Essas recomendações devem ser implementadas no contexto de ambientes de risco digital específico das empresas. Portanto, o primeiro passo para os líderes empresariais é entender as vulnerabilidades e ameaças específicas aos seus negócios. Só então eles podem implementar as tecnologias mais relevantes, iniciativas de treinamento e contratação de seguro.
Quer saber mais sobre como a sua empresa pode mitigar riscos e garantir maior segurança digital? Entre em contato com os nossos especialistas da área de Consultoria.