|
O Relatório de Riscos Cibernéticos da Zurich, elaborado em colaboração com o Atlantic Council – um think tank internacional – argumenta que os profissionais de gestão de riscos cibernéticos não se devem limitar a observar as suas proteções internas de tecnologia da informação e devem compreender os riscos que podem afetar colaboradores, fornecedores, cadeias de abastecimento, tecnologias disruptivas, infraestruturas e choques externos.
A Zurich alerta que o aumento desses riscos pode criar uma falha em escala semelhante à crise financeira de 2008. Tais riscos interligados são agravados quando uma empresa externaliza a gestão dos seus servidores, da tecnologia da informação e da segurança cibernética, para dar prioridade às suas atividades principais. Pouco se sabe sobre a gestão e salvaguarda da informação por terceiros, que, por sua vez, podem externalizar atividades para outras empresas.
O relatório sugere que as organizações incorporem as melhores ideias da gestão corporativa, como, por exemplo, a criação de um Conselho de Estabilidade Cibernética G20+20 para aperfeiçoar a gestão de riscos cibernéticos e identificar e melhorar a gestão das G-SIIOs (Organizações de Internet Globais de Significativa Importância).
Axel Lehmann, Chief Risk Officer do Grupo Zurich, declarou: “A Internet é o sistema mais complexo de todos os tempos que a humanidade já criou. Apesar de se ter mantido extremamente resiliente nas últimas décadas, o risco reside na complexidade daquilo que tornou o ciberespaço relativamente livre de riscos, e isso pode ter – e provavelmente terá – o efeito contrário.”
“As organizações estão involuntariamente expostas a riscos externos, tendo-se externalizado, interligado ou exposto a um incompreensível, e cada vez mais complexo, entrelaçamento de redes.”
O relatório identifica os sete riscos interligados:
- Risco associado ao conjunto acumulado da TI (maior parte interna) de uma organização;
- Risco de dependência ou interconexão direta (geralmente não contratual) com uma organização externa;
- Risco proveniente da relação contratual com prestadores de serviços de RH, jurídico ou de TI e fornecedor da cloud;
- Riscos para as cadeias de fornecimento do setor de TI e riscos cibernéticos para cadeias de abastecimento tradicionais e logística;
- Riscos dos efeitos invisíveis das disrupções, quer provenientes das novas tecnologias ou daquelas que já existem, mesmo que pouco conhecidas;
- Riscos das disrupções de infraestrutura nas quais economias e sociedades confiam, especialmente aquelas relacionadas à eletricidade, finanças, sistemas e telecomunicações;
- Riscos de incidentes fora do sistema, fora do controle da maioria das organizações e com grandes hipóteses de efeitos em cadeia. |
