O cibercrime é uma ameaça para todas as organizações, mas quando temos em consideração o mercado financeiro o nível de ameaça aumenta exponencialmente. Hoje, os bancos e outras instituições financeiras têm a necessidade de disponibilizar os melhores serviços, da melhor forma possível, para estarem ao dispor de todos, em qualquer parte do mundo. Assistimos, assim, a uma disseminação de diferentes produtos e serviços, através do uso da internet, possíveis de aceder através de uma infinidade de dispositivos diferentes.
Por outro lado, as organizações têm a necessidade de integrar nos departamentos de TI novas tecnologias, muitas vezes usando serviços de cloud e outras formas de acesso direto à internet. Essa pressão para que os departamentos de TI consigam dar resposta às necessidades de negócio pode levar a uma análise menos eficaz da fraqueza dos sistemas, no que diz respeito às ameaças de cibercriminalidade. As organizações enfrentam, assim, um trade-off entre a segurança e a necessidade de responder em tempo real às necessidades do mercado, que está em constante mudança, a uma velocidade nunca vista.
Neste contexto, as organizações têm dois focos de pressão para a inovação em TI: uma vinda do mercado e outra proveniente do interior da organização no que concerne ao desenvolvimento de negócios. Num cenário como este, estão reunidas todas as condições para aumentar o risco associado ao cibercrime.
Se tivermos em consideração as informações disponibilizadas pelo FireEye|Marsh & McLennan Cyber Risk Report 2017 “Cyber Threats: A perfect storm about to hit Europe?”, podemos concluir que os serviços financeiros são uma das indústrias mais atingidas pelos cibercriminosos na Europa.
Merece também atenção o artigo de Pascal Millaire (2017) “The Mirai DDoS Attack Impacts the Insurance Industry” que expõe a fragilidade dos dispositivos usados diariamente: “A pesquisa da Symantec conclui que a segurança da IoT (internet das coisas) é pobre: 19% dos aplicativos móveis testados, usados para controlar dispositivos de IoT, não usam ligações à cloud Secure Socket Layer (SSL); 40% dos dispositivos testados permitiram o acesso não autorizado aos sistemas de back-end; 50% não forneceram atualizações de firmware encriptadas, quando são feitas atualizações; os dispositivos de IoT incluem normalmente senhas padrão de fábrica…”.
Tendo em conta a envolvência das novas tecnologias associadas a novos produtos e serviços e diretamente a novas formas de cibercrime, as organizações devem avaliar os riscos que enfrentam, estimar o impacto financeiro desses riscos e aferir o nível de risco em que podem viver numa base diária. A gestão do risco associado ao cibercrime deve ser entendida em toda a extensão de uma organização, começando de cima para baixo, tendo as organizações de introduzir políticas e sistemas de controlo em termos globais.
Também os supervisores e os reguladores do sector começam a pressionar mais as organizações para estabelecerem medidas seguras e concretas para prevenir o cibercrime. As organizações financeiras devem adotar as mesmas linhas de defesa que já usam para gerir outros riscos. Isso exigirá que as unidades de negócios e os departamentos de TI sejam a primeira linha de defesa, pois devem identificar atividades que possam contribuir para o risco cibernético.
A avaliação contínua de riscos e a partilha de relatórios com o departamento de gestão de risco funcionará como uma fonte de informação para a Administração definir ou redefinir a estratégia de mitigação do risco cibernético. Colocar tudo isto em funcionamento permitirá que as equipas de auditoria interna avaliem se a estratégia de gestão do risco cibernético em vigor é forte o suficiente, dada a natureza do negócio e a propensão da organização para o risco.
Quando uma organização é capaz de implementar uma estratégia de gestão de risco cibernético baseada nas “Três Linhas de Defesa”, está mais próxima de responder com êxito a um ciberataque. Conforme explicado, o risco cibernético deixou de ser um problema para ser gerido apenas pelos departamentos de TI: deve ser levado em conta pelos princípios de governance da organização.
Concluindo, uma organização deve ser capaz de identificar e gerir o risco cibernético como qualquer outro risco já gerido (risco de liquidez, risco de crédito, risco de mercado, entre outros), pois este faz parte do Enterprise Risk Management e tem uma forte influência no risco operacional. Isso significa que as organizações devem ter o conhecimento necessário para quantificar as situações de risco cibernético em termos de capital, probabilidade de ocorrência e gravidade, caso ocorra. Com essa informação, as organizações podem definir as estratégias e os meios que devem ser implementados e qual o custo para a organização.
