Dimensionar os prejuízos causados por invasões e ataques cibernéticos não é algo fácil, rápido e (muito menos) preciso, embora as principais instituições especializada em risco e segurança, possuam parâmetros bem definidos para realizar seus cálculos. Para variar, muitos dos impactos (e seus efeitos) sequer podem ser corretamente mensurados, devido a uma série de fatores sociais e culturais que estabelecem “pesos diferenciados”, de acordo com a região. Ainda assim…
“Some of the hidden costs outlined in the McAfee report include system downtime, reduced efficiency, and incidence response costs. In addition, brand and reputational damage can have long-lasting impacts for many firms, with some having to hire outside consultancies or new employees in order to move on from a cybercrime incident.” — by TechRadar.
A McAfee realizou recentemente uma pesquisa, a qual tem como objetivo delinar como o crime cibernético tem sido financeiramente prejudicial em todo mundo, resultando em um prejuízo para a economia mundial de algo em torno de 1 trilhão de dólares (o que corresponde a um pouco mais de 1% do PIB global). E se já não bastasse as perdas em questão, ela também relata em uma pesquisa anexa que 92% das empresas sentiram efeitos que vão além das perdas monetárias causadas pelos ataques cibernéticos. E o pior: a maioria das empresas afetadas (56%) nem sequer possuem planos para prevenir e/ou responder a um incidente cibernético!
Na minha opinião, as empresas (e seus profissionais) realizam um investimento enorme e massivo em equipamentos (hardware), ferramentas (software), protocolos e técnicas de gestão e monitoramento. Não que estejam erradas (muito pelo contrário) mas em geral ignoram o que (à meu ver) deveria ser o aspecto mais importante na segurança: o fator cultural! Elas deveriam treinar, orientar e auxiliar os seus funcionários para a utilização dos recursos da infraestrutura de TI, ao mesmo tempo em que promovem um cultura de práticas seguras e confiáveis. No máximo, se limitam a redigir políticas de segurança nas quais muitas vezes, mais se preocupam em proteger a empresa sob o aspecto jurídico a que realmente evitar a ocorrência dos incidentes.
Trabalhei em uma empresa de metalurgia, na qual todas as manhãs tinhamos uma breve reunião, intitulada DDS (diálogo diário de segurança). Além do DDS, também tínhamos as ações coordenadas pelos membros da CIPA (Comissão Interna de Prevenção de Acidentes), com destaque para a SIPAT (Semana Interna de Prevenção de Acidentes do Trabalho). Estas, se focavam em conscientizar o trabalhador quanto a segurança do trabalho, possibilitando que eles possam executar o seu trabalho de forma segura, saudável e com mais qualidades, garantindo assim a sua integridade e bem-estar. Em comparação as demais empresas de metalurgia da região, lembro-me na época que ela declarava “com orgulho”, de que conquistava ótimos índices referentes a (falta) de acidentes!
Eis a questão: desconheço ações parecidas para a TI… &;-D