Artigo
14/08/2024
Atualizado em 26/04/2026

Dicas de como promover a Resiliência Digital e mitigar os Riscos Cibernéticos

Orientações detalhadas para empresas avaliarem riscos, implementarem políticas de segurança, gerirem ativos e vulnerabilidades, e protegerem dados e operações contra ameaças cibernéticas.

Imagem de capa do artigo

Como sempre digo, fazem alguns anos, depois que uma empresa global em que trabalhava na época sofreu um ataque cibernético na matriz, que impactou sua operação no mundo todo, menos no Brasil, que era visto como "patinho feio", este tema passou a me tirar o sono e preocupar bastante, pois vi na prática o impacto desvastador (esta empresa foi para RJ na matriz), e passei a achar que o risco cibernético é um dos maiores e mais preocupantes desde lá.

Neste sentido, queria falar abaixo um pouco mais sobre alguns temas que acho relevantes e que merecem sua atenção, explicando para cada um do que se trata, os riscos e como e o que fazer para mitigá-los, tais como:

Perfil de Risco Geral e Complexidade

O Ponto 1 estabelece a base para que as empresas avaliem e considerem vários elementos ao desenvolver políticas de segurança e estruturas de gestão de riscos, enfatizando a importância de alinhar as medidas de segurança com o tamanho e o perfil de risco geral da empresa, levando em consideração as características específicas de seus serviços, operações e impactos potenciais relacionados aos riscos de tecnologia.

As empresas devem avaliar seu perfil de risco e a complexidade de seus serviços para garantir que as medidas de segurança sejam adequadas, o que inclui, por exemplo, a implementação de políticas de criptografia, segurança de operações, segurança de rede, gerenciamento de projetos e a análise do impacto dos riscos de tecnologia na integridade dos dados e na continuidade operacional.

Os principais riscos abordados neste ponto incluem a falta de alinhamento das políticas de segurança com o perfil de risco da empresa, o que pode resultar em vulnerabilidades significativas em operações críticas.

Para mitigar esses riscos, as empresas devem realizar avaliações regulares do perfil de risco e garantir que as políticas de segurança sejam atualizadas e eficazes.

Elementos Gerais das Políticas de Segurança

O Ponto 2 especifica os elementos necessários que as empresas devem incorporar em suas políticas de segurança, que devem garantir a proteção das redes e dados, alinhando-se com os objetivos de segurança da informação da empresa.

As empresas devem desenvolver políticas de segurança que protejam suas redes e dados contra vulnerabilidades e ataques, assegurando a integridade e a confidencialidade das informações transmitidas e armazenadas. As políticas devem ser formalmente aprovadas pela alta administração e revisadas regularmente.

Riscos associados incluem a implementação inadequada de políticas que podem comprometer a segurança das redes e dados.

A mitigação envolve a criação de indicadores mensuráveis para avaliar a eficácia das políticas de risco de tecnologia e a garantia de que todos os níveis da empresa compreendam suas responsabilidades.

Gestão de Riscos de Tecnologia

O Ponto 3 foca no desenvolvimento e implementação de políticas e procedimentos robustos de gestão de riscos de tecnologia, o que inclui o estabelecimento de níveis de tolerância ao risco, metodologias de avaliação de riscos, tratamento dos riscos identificados e procedimentos de monitoramento.

As empresas devem desenvolver metodologias detalhadas para a avaliação de riscos de tecnologia, implementar medidas de tratamento desses riscos e monitorar continuamente os riscos residuais. A adaptação das estratégias deve ser feita em resposta a mudanças nas operações empresariais ou nas estratégias de resiliência digital.

A falha em estabelecer um nível claro de tolerância ao risco pode resultar em lacunas na gestão de riscos de tecnologia, expondo a empresa a potenciais incidentes cibernéticos.

Mitigar esses riscos envolve a implementação de um framework de gestão de riscos de tecnologia que inclua monitoramento contínuo e atualizações periódicas das estratégias de mitigação.

Política de Gestão de Ativos de Riscos

O Ponto 4 exige que as empresas desenvolvam, documentem e implementem uma política abrangente de gestão de ativos de risco, em conformidade com a estrutura mais ampla de segurança.

As empresas devem monitorar e gerenciar o ciclo de vida dos ativos, manter registros necessários para a condução de avaliações de riscos e, em especial, realizar avaliações regulares de riscos em sistemas legados.

A gestão inadequada de ativos de risco pode levar à obsolescência de sistemas críticos e à exposição a vulnerabilidades de segurança.

A mitigação envolve a criação de uma política estruturada de gestão de ativos que cobre todo o ciclo de vida dos ativos e inclui a realização de avaliações de riscos em sistemas legados.

Procedimento de Gestão de Ativos de Risco

Este ponto detalha o requisito para que as empresas desenvolvam e implementem um procedimento estruturado para a gestão de seus ativos de risco, incluindo uma avaliação de criticidade.

As empresas devem desenvolver critérios claros para avaliar a criticidade dos ativos de risco, avaliar os riscos relacionados a esses ativos e analisar o impacto da perda desses ativos nos processos de negócios.

A falta de um procedimento estruturado pode resultar em uma gestão inadequada dos ativos de risco de tecnologia, expondo a organização a falhas críticas em suas operações.

Para mitigar esses riscos, as empresas devem implementar um procedimento abrangente que inclua avaliações regulares de criticidade e riscos associados.

Criptografia

Este ponto estabelece os requisitos para que as empresas desenvolvam e implementem políticas de criptografia e controles como parte de seus protocolos de segurança de risco de tecnologia.

As empresas devem criar uma política documentada de criptografia baseada em avaliações de riscos e classificações de dados, cobrindo a criptografia de dados em repouso, em trânsito e em uso, bem como a gestão de chaves criptográficas.

A inadequação na atualização das tecnologias criptográficas pode deixar a empresa vulnerável a ataques cibernéticos avançados.

A mitigação inclui a atualização regular das tecnologias criptográficas e a adoção de medidas de monitoramento contínuo.

Gestão de Chaves Criptográficas

O Ponto 7 estabelece os requisitos para que as empresas desenvolvam e implementem políticas de gestão de chaves criptográficas ao longo de todo o seu ciclo de vida, garantindo sua proteção e administração adequada.

As empresas devem criar uma política que abranja todas as etapas do ciclo de vida das chaves criptográficas, incluindo geração, armazenamento, backup, arquivamento, recuperação, transmissão, aposentadoria, revogação e destruição. Também devem implementar controles para prevenir acessos não autorizados e garantir a integridade das chaves.

Os principais riscos incluem a possibilidade de perda ou comprometimento das chaves criptográficas, o que pode resultar em falhas de segurança críticas.

Para mitigar esses riscos, é essencial implementar controles rigorosos ao longo de todo o ciclo de vida das chaves e manter um registro atualizado de todos os certificados associados aos ativos de risco de tecnologia.

Políticas e Procedimentos para Operações de Risco

Este ponto exige que as empresas desenvolvam e documentem políticas e procedimentos para garantir a segurança e a integridade das operações de risco.

As empresas devem incluir em suas políticas uma descrição dos ativos de risco e implementar controles e monitoramento contínuo dos sistemas. Também devem estabelecer protocolos de manuseio de erros e identificar condições de teste em ambientes de produção.

A falta de procedimentos adequados pode resultar em falhas operacionais e vulnerabilidades de segurança.

Para mitigar esses riscos, as empresas devem garantir que todos os sistemas sejam desenvolvidos e mantidos de acordo com padrões de segurança rigorosos.

Gestão de Capacidade e Desempenho:

O Ponto 9 trata do desenvolvimento e documentação de procedimentos para a gestão de capacidade e desempenho das operações de risco de tecnologia.

As empresas devem desenvolver procedimentos que garantam a gestão eficaz da capacidade e do desempenho, incluindo monitoramento e ajustes conforme necessário para manter a eficiência operacional.

Falhas na gestão de capacidade podem levar à sobrecarga dos sistemas, resultando em interrupções de serviço.

A mitigação desses riscos inclui a implementação de sistemas de monitoramento contínuo que ajustem automaticamente os recursos conforme necessário.

Gestão de Vulnerabilidades e Patches:

Este ponto 10 exige que as empresas desenvolvam e implementem procedimentos para a gestão de vulnerabilidades e patches, garantindo que todos os sistemas sejam mantidos atualizados e protegidos contra ameaças conhecidas.

As empresas devem realizar avaliações regulares de vulnerabilidades, implementar procedimentos de gestão de patches e garantir que todos os sistemas sejam corrigidos de forma oportuna.

A falta de uma gestão eficaz de vulnerabilidades pode resultar em explorações de segurança, levando a incidentes cibernéticos significativos.

Para mitigar esses riscos é importante que as empresas mantenham um processo rigoroso de gestão de patches, acompanhado de avaliações contínuas de vulnerabilidades.

Segurança de Dados e Sistemas:

O Ponto 11 foca na criação e implementação de procedimentos de segurança para proteger os dados e sistemas contra ameaças.

As empresas devem implementar restrições de acesso, identificar configurações seguras para os ativos de risco, aplicar medidas contra a instalação de software não autorizado e proteger contra códigos maliciosos.

A falta de proteção adequada pode resultar em violações de dados e comprometer a integridade dos sistemas.

Para mitigar esses riscos, as empresas devem adotar uma abordagem ampla que inclua medidas preventivas e corretivas robustas para a segurança de dados e sistemas.

Registro de Logs:

Este ponto estabelece a necessidade de as empresas desenvolverem e implementarem procedimentos para o registro de logs relacionados às suas operações financeiras.

As empresas devem garantir que todos os eventos relevantes sejam registrados e monitorados para fins de auditoria e análise de segurança.

A falta de registros adequados pode dificultar a detecção e resposta a incidentes cibernéticos.

A mitigação inclui a implementação de sistemas de log que capturem informações críticas de forma segura e eficiente.

Gestão de Segurança da Rede:

O Ponto 13 detalha os requisitos para o desenvolvimento e documentação de políticas de gestão de segurança da rede, garantindo a proteção contra acessos não autorizados e outros riscos.

As empresas devem implementar segregação e segmentação de sistemas, manter documentação de conexões de rede e fluxos de dados, e implementar controles de acesso a redes.

A falta de controles de segurança de rede pode expor as empresas a ataques cibernéticos direcionados.

A mitigação envolve a criação de uma arquitetura de rede segura que inclua medidas preventivas, como criptografia e segmentação de redes críticas.

Segurança da Informação "em Trânsito":

Este ponto trata do desenvolvimento e implementação de políticas para garantir a segurança da informação enquanto esta é transmitida entre sistemas e redes.

As empresas devem realizar avaliações de risco de tecnologia para identificar e mitigar riscos associados à transmissão de dados, utilizando criptografia e outras medidas de segurança.

A interceptação de dados em trânsito é um risco significativo que pode comprometer a integridade e a confidencialidade da informação.

Para mitigar esses riscos, as empresas devem adotar políticas rigorosas de criptografia e monitoramento de transmissões de dados.

Gestão de Projetos:

O Ponto 15 aborda a necessidade de as empresas desenvolverem uma política de gestão de projetos, garantindo que todos os projetos sejam executados com segurança e eficácia.

As empresas devem documentar todos os elementos do gerenciamento de projetos de tecnologia, garantir a implementação segura dos projetos e relatar os riscos associados à alta administração.

A gestão inadequada de projetos de risco de tecnologia pode levar a falhas de segurança e ineficiências operacionais.

A mitigação envolve a criação de uma política robusta de gestão de projetos que inclua controles de segurança em todas as fases do projeto.

Aquisição, Desenvolvimento e Manutenção de Sistemas:

Este ponto 16 exige que as empresas desenvolvam e implementem uma política para a aquisição, desenvolvimento e manutenção de sistemas, garantindo que esses processos sejam realizados de forma segura e eficiente.

As empresas devem criar procedimentos para testar sistemas, realizar revisões de código-fonte e avaliações de vulnerabilidades, e garantir a proteção de dados em ambientes de teste.

O uso inadequado de sistemas, incluindo o desenvolvimento e manutenção de software, pode introduzir vulnerabilidades significativas.

Para mitigar esses riscos é necessário adotar práticas de segurança durante todo o ciclo de vida do software e realizar testes rigorosos antes da implementação.

Gestão de Mudanças:

O Ponto 17 estabelece os requisitos para a implementação de procedimentos de gestão de mudanças, assegurando que todas as mudanças sejam realizadas de forma controlada e segura.

As empresas devem desenvolver procedimentos rigorosos para a gestão de mudanças, incluindo a realização de testes pós-mudança e a revisão dos impactos das mudanças em todo o ambiente de risco de tecnologia.

Mudanças não controladas ou mal gerenciadas podem introduzir novas vulnerabilidades nos sistemas.

A mitigação envolve a implementação de processos de revisão e aprovação de mudanças, além da realização de testes rigorosos antes e após as mudanças.

Segurança Física e Ambiental:

Este ponto foca na implementação de políticas de segurança física e ambiental para proteger os ativos de risco de tecnologia contra ameaças físicas, como desastres naturais e invasões.

As empresas devem desenvolver políticas que garantam a proteção física dos ativos, incluindo a implementação de controles de acesso físico, monitoramento ambiental e preparação para desastres.

A falta de medidas adequadas de segurança física pode resultar em danos ou perda de ativos críticos.

A mitigação desses riscos inclui a criação de políticas robustas de segurança física e a implementação de sistemas de monitoramento contínuo.

Política de Recursos Humanos:

O Ponto 19 aborda a necessidade de as empresas desenvolverem políticas de recursos humanos que incluam elementos de segurança, assegurando que os colaboradores compreendam suas responsabilidades na segurança. Afinal, pessoas sempre são o elo mais fraco desta corrente.

As empresas devem desenvolver políticas de RH que incorporem a segurança de risco de tecnologia, incluindo treinamento de colaboradores e protocolos de resposta a incidentes.

A falta de conscientização e treinamento em segurança de risco de tecnologia entre os colaboradores pode levar a violações de segurança.

A mitigação envolve a criação de programas contínuos de treinamento e conscientização, além da inclusão de cláusulas de segurança nos contratos de trabalho.

Gestão de Identidades:

Este ponto exige que as empresas desenvolvam políticas e procedimentos para a gestão de identidades, garantindo que apenas indivíduos autorizados tenham acesso aos sistemas de risco de tecnologia.

As empresas devem implementar políticas que assegurem a gestão eficaz de identidades ao longo de seu ciclo de vida, incluindo a atribuição de identidades únicas e a manutenção de registros detalhados.

A gestão inadequada de identidades pode levar a acessos não autorizados e comprometimento de dados sensíveis.

A mitigação envolve a implementação de processos de autenticação fortes e a revisão regular de acessos.

Controle de Acesso:

O Ponto 21 detalha os requisitos para o desenvolvimento de políticas de controle de acesso, garantindo que os acessos sejam restritos conforme necessário e adequadamente monitorados.

As empresas devem implementar controles de segregação de funções, estabelecer medidas de responsabilidade do usuário e adotar métodos de autenticação fortes.

Falhas no controle de acesso podem resultar em acessos indevidos a informações confidenciais.

A mitigação desses riscos inclui a implementação de políticas rigorosas de controle de acesso e a revisão periódica dos direitos de acesso.

Política de Gestão de Incidentes:

Este ponto exige que as empresas desenvolvam e documentem uma política de gestão de incidentes relacionados a risco de tecnologia, assegurando uma resposta rápida e eficaz a incidentes cibernéticos.

As empresas devem estabelecer protocolos claros para a detecção, resposta e recuperação de incidentes de risco de tecnologia, incluindo a designação de funções e responsabilidades específicas.

A resposta inadequada a incidentes cibernéticos pode amplificar os danos causados.

Para mitigar esses riscos, é essencial que as empresas desenvolvam e testem regularmente seus planos de resposta a incidentes.

Detecção e Resposta a Atividades Atípicas:

O Ponto 23 trata da implementação de ferramentas e procedimentos para a detecção e resposta a atividades atípicas dentro dos sistemas.

As empresas devem implementar ferramentas de monitoramento e alerta para atividades estranhas, registrar os detalhes das atividades detectadas e proteger os registros de tais atividades.

A detecção tardia de atividades anômalas pode resultar em falhas de segurança graves.

A mitigação envolve a implementação de sistemas de monitoramento avançados que ofereçam alertas em tempo real e capacidade de resposta imediata.

Política de Continuidade de Negócios:

Este ponto foca na necessidade de as empresas desenvolverem uma política de continuidade de negócios, assegurando que operações críticas possam ser retomadas rapidamente após uma interrupção.

As empresas devem definir tempos máximos de recuperação para funções críticas, avaliar links externos e interdependências, e garantir a existência de um site secundário de processamento.

A falta de uma política de continuidade bem definida pode resultar em interrupções prolongadas que impactem gravemente as operações.

A mitigação desses riscos inclui a realização de testes regulares de planos de continuidade e a implementação de redundâncias adequadas.

Testes dos Planos de Continuidade de Negócios:

O Ponto 25 exige que as empresas realizem testes regulares de seus planos de continuidade de negócios para garantir sua eficácia.

As empresas devem incluir todas as partes relevantes nos testes e garantir que os planos de continuidade sejam atualizados com base nos resultados dos testes.

Planos de continuidade ineficazes podem falhar no momento de uma crise real.

A mitigação envolve a realização de testes rigorosos e a revisão contínua dos planos para garantir que estejam sempre atualizados e eficazes.

Planos de Resposta e Recuperação:

Este ponto exige o desenvolvimento de planos de resposta e recuperação baseados em uma análise de impacto nos negócios.

As empresas devem identificar e analisar cenários de interrupção relevantes, incluir opções alternativas de recuperação e garantir a continuidade de serviços críticos, especialmente aqueles fornecidos por terceiros.

A falta de um plano de resposta e recuperação pode resultar em respostas inadequadas a crises, comprometendo a resiliência operacional.

A mitigação desses riscos envolve a criação de planos detalhados baseados em análises de impacto e a realização de testes regulares desses planos.

Revisão do Framework:

O Ponto 27 detalha os requisitos para a geração e submissão de um relatório de revisão do framework de gestão de riscos de tecnologia.

As empresas devem gerar relatórios abrangentes que detalhem a eficácia do framework de gestão de riscos de tecnologia, submetendo-os às autoridades reguladoras conforme necessário.

A falta de relatórios precisos pode resultar em falhas de conformidade e na incapacidade de ajustar as estratégias de mitigação de riscos de forma eficaz.

A mitigação inclui a criação de processos de revisão e geração de relatórios que sejam rigorosos e regulares.

Governança e Organização:

O Ponto 28 trata do estabelecimento de um framework de governança interna e controle para a gestão de riscos de tecnologia.

As empresas devem definir claramente as funções e responsabilidades relacionadas às tarefas de risco de tecnologia, comunicar os objetivos de segurança da informação e realizar alocações orçamentárias anuais para resiliência operacional digital.

Uma governança inadequada pode resultar em falhas na gestão de riscos de tecnologia e na implementação ineficaz de medidas de segurança.

A mitigação envolve a definição clara de estruturas de governança e a alocação adequada de recursos para garantir a eficácia da gestão de riscos de tecnologia.

Política e Medidas de Segurança da Informação:

O Ponto 29 estabelece os requisitos para o desenvolvimento e documentação de políticas de segurança da informação que assegurem a proteção dos ativos.

As empresas devem identificar e classificar funções críticas e ativos, garantindo que políticas de segurança sejam implementadas para proteger esses recursos.

A implementação inadequada de políticas de segurança da informação pode deixar ativos críticos vulneráveis a ataques cibernéticos.

A mitigação envolve a criação de políticas de segurança robustas e a garantia de que sejam aplicadas consistentemente em toda a organização.

Bom, fico por aqui para não deixar este post maior ainda. Se chegou até aqui, espero que estas dicas acima lhe ajudem a estruturar sua área de riscos para garantir que todos estes riscos acima sejam mitigados, promovendo assim a chamada: "resiliência digital" e mitigando riscos cibernéticos nas empresas.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante