A segurança cibernética em infraestrutura crítica é cada vez mais um tema essencial para a proteção de vidas, dos negócios, governos e da sociedade em geral. Para abordar esse tema conversei com a especialista Márcia Tosta, conselheira da Netglobe Cyber Security, ela defende que a segurança cibernética em setores como energia, abastecimento de água, saúde, transportes e telecomunicações deve ser tratada como prioridade estratégica e não como um item de conformidade. Os principais argumentos que embasam essa visão são: o impacto imediato na continuidade operacional e na reputação quando há incidentes, a diferença entre organizações resilientes e aquelas que apenas cumprem requisitos, além da necessidade de traduzir riscos técnicos para a linguagem dos negócios.
Márcia destaca dois setores que são prioridades urgentes: transportes e saneamento. O setor de transporte pode provocar caos generalizado em caso de ataques a sistemas de controle de tráfego ou sinalização como esse que aconteceu entre os dias 19 e 20 de setembro, atingindo provedores de serviços de sistemas de embarques em aeroportos na Europa, causando atrasos e cancelamentos em centenas de voos. No caso do saneamento, o que está em risco é a saúde pública. “Já tivemos incidentes nos EUA que demonstraram o risco de manipulação de processos de tratamento de água”.
Para Márcia, que tem uma longa trajetória conduzindo equipes de Segurança da Informação em grandes empresas, estamos falando de atividades que mantêm empresas e países funcionando. Quando redes de energia, abastecimento de água, hospitais e transporte param, há impacto direto na vida das pessoas, na economia e na ordem social. “Casos emblemáticos de ataques, como o que parou a empresa de combustíveis Colonial Pipeline e gerou escassez de combustíveis na Costa Leste dos Estados Unidos – mostraram que a interrupção de uma infraestrutura essencial provoca filas, aumento de preços e pânico do consumidor, com danos financeiros e reputacionais que atravessam anos”.
É nesse ponto que entra uma questão que diferencia organizações mais resilientes das que apenas cumprem os requisitos básicos, cultura e preparação. Empresas resilientes treinam, testam e atualizam processos continuamente, tratam segurança como investimento e não como custo e fazem exercícios que envolvem toda a organização, indo do operacional ao board. “Não basta ter backups: é preciso validar que eles funcionem quando necessário. Quem enxerga segurança apenas como cumprimento de requisitos legais costuma estar despreparado para a materialização de um incidente real”, enfatiza.
Para construir resiliência é necessário integrar risco cibernético à matriz de riscos corporativa, sem perder a objetividade. O grande desafio é traduzir a linguagem técnica, destacando os impactos diretos no negócio para a alta administração, como perdas financeiras, impacto operacional e danos reputacionais. Segundo Márcia, é preciso conhecer processos de negócio para quantificar qual sistema ou tecnologia derruba operações e quanto isso custa e de metodologias que não subestimem riscos novos resultantes da transformação digital. “Precisamos de métricas que tragam visibilidade real, não apenas retrospectiva. A tecnologia traz riscos novos, cuja probabilidade não pode ser estimada apenas por eventos anteriores”.
Márcia destaca o papel da cultura organizacional como alicerce que faz a diferença entre sobreviver a um incidente e sucumbir a ele. Para ela: segurança deve ser vista como investimento estratégico e internalizada por todos: do operacional ao RH, do jurídico ao CEO. Treinamento, exercícios e comunicação adaptada para cada público são fundamentais.
Para concluir, Márcia faz uma provocação positiva: segurança integrada ao negócio é condição de perenidade. Para isso, empresas precisam unir governança, mensuração objetiva, investimento contínuo e, sobretudo, comunicar riscos em termos que provoquem ação. Se o conselho entender que a segurança é tão estratégica quanto o fluxo de caixa, mudanças efetivas ocorrerão. Até lá, o trabalho é falar menos de vulnerabilidade e mais de impacto — porque é assim que se mobilizam recursos e se constrói resiliência.
*Coluna escrita por Renato Batista, formado em Administração de Empresas e Sistemas de Informação e com MBAs em Marketing e Cyber Security Governance & Management, fundador e CEO da Netglobe Cyber Security
As opiniões transmitidas pelo colunista são de responsabilidade do autor e não refletem, necessariamente, a opinião da BM&C News. Leia mais colunas do autor aqui.