O Plano de Resposta a Incidentes deve estar alinhado à gestão de riscos das companhias, afirma executiva da seguradora
Diante deste cenário crescente de ataques de hackers a empresas e indivíduos, a Zurich reforça a importância do Plano de Resposta a Incidentes para a prevenção e a gestão dessas e de outras ocorrências.
Para se ter uma idéia, o crescimento no número de ataques nos sistemas de corporações de todo o mundo durante o 1º semestre de 2021 foi 125%, maior que o registrado no mesmo período do ano passado, segundo a consultoria Accenture.
“Gestão de incidentes são as ações que uma empresa toma para prevenir ou conter o impacto de um incidente enquanto este está ocorrendo ou brevemente após ter ocorrido.
O processo de resposta a incidentes deve estar muito bem alinhado às políticas estabelecidas e aos objetivos de negócios da companhia”, afirma Lilian Moura dos Anjos, Engenheira de Riscos Cibernéticos da Zurich no Brasil.
De acordo com Lilian, recomenda-se que todo Plano de Respostas a Incidentes baseie-se em boas práticas de mercado, que incluemseis fases.
A primeira é a Preparação, que lista como a companhia deve estar pronta para agir diante de um incidente. A segunda diz respeito à Identificação, que trata dos critérios para detectá-lo. A terceira enumera como contê-lo: Contenção.
Em seguida, vem a quarta fase, a Erradicação, que lista as etapas para eliminar a causa-raiz do problema. O que fazer para restabelecer a normalidade de todos os sistemas, configura-se na quinta fase, que é a Recuperação.
Por fim, a última e não menos importante, a fase das Lições aprendidas, que discorre sobre o que fazer para que os mesmos erros não ocorram novamente.
Outro fato que releva a importância de ter um plano de resposta a incidentes é o decreto 10.748 publicado pelo governo em 16 de julho de 2021.
Ele visa a manter as medidas de prevenção, tratamento e resposta a incidentes cibernéticos, de forma coordenada entre todos os órgãos da administração pública federal, seguindo a Política Nacional de Segurança da Informação.
Ainda que a legislação diga respeito a entidades e autarquias das três esferas de poder, o assunto joga luz às empresas da iniciativa privada, que cada vez mais precisam saber o que fazer numa situação que ameace ou mesmo paralise suas atividades.
“A inobservância de qualquer uma delas determina o sucesso ou o fracasso na gestão de incidentes – que não deve ser aplicada apenas na execução durante a ocorrência de um evento, visando à sua mitigação, mas também na maneira de preveni-lo”, pondera a executiva.
A especialista também recomenda que as corporações, mesmo aquelas que já possuem Planos de Respostas a Incidentes, os testem periodicamente e não os deixem arquivados – leia-se “esquecidos”, seja literalmente ou armazenados na rede da empresa.
“Por que, por exemplo, uma determinada companhia faz, todos os anos, o mesmo exercício de evacuação do prédio em caso de incêndio? Porque a população da companhia muda, porque há alterações de design e porque a prática permite que sejam observados diversos indicadores que precisam ser constantemente revistos e recalibrados, para o caso de o exercício se tornar uma prática necessária frente a um evento real”.
Engenharia de Riscos, área que ajuda as companhias no Plano de Resposta a Incidentes
No Brasil, uma das mais reconhecidas empresas seguradoras, a Zurich, oferece um serviço diferenciado nesse mercado, por dispor de uma área que, entre outras atividades, ajuda as empresas no Plano de Resposta a Incidentes. Trata-se do departamento de Engenharia de Riscos, que atua com três grandes frentes.
A primeira é na análise prévia da maturidade de segurança da informação das empresas, auxiliando-as na transferência de risco por meio da apólice de seguro cibernético e no entendimento do cenário atual.
Na segunda frente, a área opera como consultoria, podendo ser contatada caso haja interesse por clientes e não clientes da Zurich, apoiando-os na implementação de melhoria de riscos, treinamentos, implantação do Plano de Resposta a Incidentes, entre outros.
A terceira frente da área diz respeito ao compartilhamento de conhecimento e material técnico de forma a apoiar o mercado para que seus clientes tenham riscos cada vez melhor gerenciáveis e, por consequência, carteiras mais saudáveis no mercado segurador.
Segundo análises da área de Engenharia de Riscos da Zurich, feitas nos últimos anos, apenas 3 de cada 10 empresas avaliadas possuem um plano de resposta a incidentes formalizado. “Em linha com o objetivo de compartilhar conhecimento e apoiar o mercado a conquistar riscos mais saudáveis, desenvolvemos um documento para auxiliar as empresas a observarem todas as questões que envolvem um Plano de Respostas a Incidentes.
Não é por acaso que a sabedoria milenar diz que é melhor prevenir do que remediar. Mas se for preciso fazê-lo, que tudo esteja documentado e testado para que os danos sejam atenuados o máximo possível”, finaliza.
Fonte: Zurich I Sonho Seguro