TRANSLATE:
Login
ÚLTIMOS ARTIGOS
PRÁTICAS DE CYBER, PRIVACIDADE, GOVERNANÇA, RISCO E COMPLIANCE DE TI
Com o mundo cada vez mais conectado, as empresas terão de repensar sobre as novas ameaças às quais estão submetidas, bem como suas vulnerabilidades. Ransomware (vírus que sequestra dados), ataques de hackers, vazamento de informações, espionagem industrial são alguns dos chamados riscos cibernéticos (cyber risks) que já se tornaram assuntos recorrentes no noticiário nacional e internacional. Para entender melhor o assunto, Edgar Pacheco D'Andrea, sócio da PwC e líder para as questões de cyber, privacidade e governança de TI, responde algumas perguntas.

1. Por que os chamados cyber risks têm ganho mais atenção do mundo?
R. Os cyber risks passaram a ter mais visibilidade conforme o mundo foi se tornando mais tecnológico e mais conectado a um ecossistema. Antes, as empresas que não eram do ramo financeiro tinham alguma exposição via web. Então os procedimentos de proteção aos servidores eram básicos e resolviam a maioria dos problemas. Hoje em dia, qual empresa não tem celular para os seus executivos ou para sua força de venda? Quais empresas não permitem a conexão de seus funcionários ou seus terceirizados a arquivos importantes via internet? Ou mesmo, têm os servidores associados aos robôs nas fábricas de automóveis ou aos robôs de venda das empresas de varejo? Temos acompanhado muitos ataques aos servidores que controlam a temperatura dos fornos de siderúrgicas, ou que controlam aparelhos de tomografia. Hoje, não apenas a Tecnologia da Informação e Comunicação (TIC) que está conectada, mas a chamada Tecnologia da Operação também. Todas as empresas estão mais expostas a esses riscos. E é importante que todos os executivos e conselheiros prestem atenção: agora, a questão da privacidade de dados já não é mais um problema de tecnologia, mas de toda a organização.

2. Quais são as principais fontes desses ataques?
R. Existem três motivações principais de ataques. A primeira é a disputa entre nações, como vimos entre a Rússia e os Estados Unidos (EUA) na eleição do presidente Donald Trump. Às vezes, esse ataque entre países pode atingir uma empresa, como foi o caso do ataque da Coreia do Norte aos EUA e Japão, que foi feito por meio da Sony, motivada por um filme satírico sobre o ditador Kim Jong-un. Esse modo de disputa entre países é algo moderno, de certa forma, lembra uma "Guerra Fria cibernética". Outra fonte de ataques são os ativistas, como os Anonymus. Eles têm como propósito levantar uma bandeira, defender uma causa, e para isso, atacam uma organização. E isso não acontece apenas com organizações com problemas ambientais, trabalhistas e envolvidas em corrupção. Acompanhamos um caso em que uma empresa de planos de saúde foi atacada, pois não estava autorizando a cirurgia de uma criança. O crime organizado já é outra classe. Tradicionalmente, os bancos e empresas de cartão de crédito sempre tiveram algum problema com cópias de cartões, roubo de dados etc. Nesse setor, é possível converter mais rapidamente uma senha em dinheiro. Hoje em dia, também observamos roubo de conhecimento e informações de empresas dos mais variados ramos, dados como cadastro de clientes, fórmulas de fabricação, protocolos de venda. E o crime organizado usa isso para chantagear ou vender os dados para um concorrente. Muitas vezes, a fraude é cometida por pessoas que estão dentro da organização, ou seja, um funcionário que, por algum motivo, resolve praticar uma fraude para obter um ganho pessoal. Pode ser alguém que tenha acesso aos pagamentos, à prestação de contas e despesas, ou que tenha acesso aos fornecedores ou poder de negociação. O número referente a esses tipos de caso vem aumentando significativamente. Se essa pessoa está ligada ao crime organizado ou está atuando individualmente, é sempre preciso analisar e investigar mais profundamente.

3. Que tipos de ação podem ser feitas para mitigar esses riscos?
R. A primeira coisa a ser feita é superar a percepção errada de que os ataques cibernéticos estão voltados para bancos e cartões de crédito. Algumas empresas ainda não acordaram para esse problema. Para essas organizações, eu sugiro que repensem essa percepção. Qualquer empresa pode, sim, ser um alvo de ataques a qualquer momento, basta estar conectada. Quem poderia imaginar que alguém iria fazer um ataque ao hospital do câncer de Barretos? Ou a um berçário? Mas esses ataques aconteceram. O alvo não era o berçário, mas foi programado um ataque geral que também acertou o berçário. Todas as companhias estão conectadas no mundo, por mais que seja uma empresa low profile. Agora, para aquelas que já acordaram para esse risco e que estão querendo caminhar, eu sugiro que não trate isso apenas como uma questão de TI. Segundo, elas devem analisar qual o perfil de risco da empresa: da estrutura, do operacional e mesmo dos próprios executivos. Você pode sofrer um ataque por ter com um conselheiro de administração com exposição política. Terceiro essas empresas devem se perguntar o que querem proteger. Não faz sentido pensar numa proteção total, que seria tecnicamente impossível e engessaria demais as operações. É preciso criar um programa, não uma ação ou um plano. É importante ter pessoas internas e uma auditoria interna capacitada e, se possível, ter auditores externos para analisar todo esse processo. E isso não é uma tarefa fácil.

4. Quais perguntas um conselheiro de administração precisa fazer para saber se a empresa está atenta a esses riscos?
R. Essa é a pergunta do milhão. A primeira questão importante para o conselheiro é saber qual é a área que cuida dos cyber risks. Que tipo de estrutura organizacional essa área tem? Qual a visão dos responsáveis sobre esses riscos? Achar que é um problema apenas de TI, é uma visão ultrapassada. O conselheiro precisa ficar atento. Essa área ou organização precisa ter um olhar amplo dos riscos cibernéticos, dos investimentos para mitigá-los e que possa tratar essa questão como um programa de proteção. A segunda questão que o conselho deve fazer é um debate mais aprofundado sobre quais os riscos internos e externos. As empresas mais maduras conseguem, com base nesse mapeamento, trabalhar com uma lógica de prevenção. A terceira questão para o conselheiro é em que medida os possíveis processos de inovação e transformação digital das empresas contemplam uma análise criteriosa dos riscos cibernéticos.

5. Como fazer com que esse tema esteja na pauta do conselho?
R. É um tema atual muito importante para os conselheiros. Eles precisam dar atenção para isso, garantir que esse debate esteja na pauta regularmente. Uma maneira é ter alguém que fale sobre o programa de segurança cibernética, como estão os avanços, se teve alguma invasão com questões relevantes. A nossa percepção é que os reguladores estão cada vez mais rígidos e exigentes com esse tema. Debater essas questões o quanto antes é também se adiantar a essa preocupação dos reguladores. Tem uma questão que os conselheiros precisam levar em conta com o debate sobre cyber risk. Como é um assunto que tem um viés técnico profundo, dá a impressão que eles não podem contribuir. Mas nem tudo é técnico. Tem uma questão que é organizacional, e envolve pessoas e processos. Todos os programas de prevenção a riscos cibernéticos passam por tecnologia, pessoas e processos. Ainda que não dominem a questão técnica, quando se analisa pelo enfoque de pessoas e processos, os conselheiros podem navegar um pouco mais confortáveis nessa questão e contribuir com a expertise que eles já possuem. (Fonte:- Pedro Malavolta na Newsletter semanal sobre as ações do Instituto Brasileiro de Governança Corporativa - IBGC)
Apoio:
xhl


sicredi
Blog
MARGEM DE CONTRIBUIÇÃO - UMA IMPORTANTE INFORMAÇÃO PARA TOMADA DE DECISÃO E NEGOCIAÇÃO NOS SERVIÇOS DE SAÚDE.
Destaques
Manual de Indicadores de Gestão de Pessoas - 2017
2017 - Concurso para obtenção de título de especialista em medicina preventiva e certificado de área de atuação em administração em saúde
RAS On-line
Gestão Hospitalar - O Papel do Médico Gestor
RAS Vol. 16 N° 64 Julho-Setembro, 2014
RAS Vol. 16 N° 63 Abril-Junho, 2014
Mais Recentes
Assembleia dos Hospitais Participantes de 01 de dezembro de 2017 17/11/17
IBGC LANÇA MANUAL DE ORIENTAÇÃO PARA PARTICIPAÇÃO DO CONSELHO DE ADMINISTRAÇAO NA ESTRATÉGIA DAS ORGANIZAÇÕES 13/11/17
PROTOCOLO REDUZ COMPLICAÇÕES E TEMPO DE INTERNAÇÃO EM CIRURGIAS 10/11/17
PRINCIPAIS FATORES PARA O SUCESSO DAS EMPRESAS FAMILIARES 09/11/17
CÂMARA DOS DEPUTADOS HOMENAGEIA SANTAS CASA E HOSPITAIS SEM FINS LUCRATIVOS 09/11/17
PRÁTICAS DE CYBER, PRIVACIDADE, GOVERNANÇA, RISCO E COMPLIANCE DE TI 07/11/17
O PAPEL DO CONSELHO DE ADMINISTRAÇÃO NA ESTRATÉGIA DAS ORGANIZAÇÕES 30/10/17
Empresa fecha escritório porque os empregados não apareciam para trabalhar | adorohomeoffice.com.br/2017/...
26/10/17
Qual é a relação da ética com a administração? Empresas éticas são mais produtivas | ow.ly/tTXk30b9zlO
26/10/17
Nos EUA, gasto anual com saúde per capita: $ 10.000; renda média pessoal anual: $ 30.000.
26/10/17
Mais Lidas
1Manual de Indicadores de Enfermagem NAGEH 2012
2Rumo à Excelência: Critérios para avaliação do desempenho e diagnóstico organizacional
3CQH - Roteiro de Visitas
4Manual de Gestão Hospitalar
53º Caderno de Indicadores CQH - 2009
6Acreditação hospitalar: um movimento inexorável?
7Por que e como aderir ao Programa CQH
8Prêmio Nacional da Gestão em Saúde - Ciclo 2015-2016: Regulamento e Instruções para Candidatura
9Manual de Gestão Hospitalar do CQH
10Gerenciamento de Riscos e Segurança do Paciente - a confirmar em 2018
Videoaulas
Indicador de homem hora treinamento
Avaliação da Necessidade de Treinamento