Riscos Cibernéticos Emergentes – Parte 2: Identificação de Riscos – Antecipação ou Resiliência?

O objetivo principal da maioria das atividades de identificação e avaliação de riscos é antecipar o potencial de eventos de risco e, ao fazê-lo, estimar tanto a sua probabilidade como o seu impacto. Para conseguir isso, tempo e esforço são gastos na previsão das causas potenciais dos eventos de risco e na compreensão dos seus efeitos caso esses eventos de risco se cristalizem.

A Tabela 1 abaixo resume algumas das diversas técnicas que podem ser utilizadas para apoiar a identificação e a avaliação (ou seja, a antecipação) de eventos de risco, incluindo aqueles relacionados à segurança cibernética:

Muitas dessas técnicas podem ser combinadas para obter maior efeito. Por exemplo, um workshop de risco pode ser realizado com o apoio de uma matriz de risco (uma ferramenta simples que mede a probabilidade de um risco em relação ao impacto, caso este ocorra). Da mesma forma, um registro de riscos pode também incorporar uma autoavaliação de controle.

No entanto, dada a gama complexa e em constante mudança de causas e efeitos que podem estar associados a eventos de segurança cibernética, raramente é possível antecipar todos os eventos futuros. À medida que a tecnologia e as nossas relações sociais e pessoais com a tecnologia evoluem, as causas e efeitos dos eventos de segurança cibernética também mudarão. Isto significa que, antes de baixa probabilidade, os riscos podem subitamente tornar-se de alta probabilidade (e vice-versa), enquanto novos efeitos também podem materializar-se (tais como efeitos de reputação ou as consequências muitas vezes trágicas do cyberbullying).

Tendo em conta a natureza dinâmica dos riscos de segurança cibernética, deve ser levado em consideração que alguns riscos não podem ser antecipados de forma eficaz. No entanto, isso não significa que as organizações devam se sentar e não fazer nada. Em vez disso, devem trabalhar para avaliar e incrementar a sua resiliência inerente a eventos inesperados. Todas as organizações podem ser apanhadas ocasionalmente por algum evento imprevisto de segurança cibernética, mas as organizações mais resilientes serão mais capazes de responder a esses eventos e se recuperar mais rapidamente.

Lidando com o Inesperado: As Organizações de Alta Confiabilidade

Para combater os riscos de segurança cibernética que não podem ser totalmente previstos, as organizações devem também avaliar a sua resiliência a eventos imprevistos. Isso requer uma avaliação da organização quanto à sua: 

• Capacidade de detectar causas, eventos ou efeitos inesperados, de preferência antes que tenham consequências significativas (adversas);

• Vontade inerente de aceitar e responder a causas, acontecimentos e efeitos inesperados; e 

• Capacidade de se recuperar rapidamente e aprender com causas, eventos ou efeitos inesperados.

Um campo de pesquisa que fornece um mecanismo muito interessante para avaliar a resiliência organizacional é o trabalho relacionado às “Organizações de Alta Confiabilidade” (High Reliability Organizations - HROs), desenvolvido pelos pesquisadores Kathleen M. Sutcliffe e Karl E. Weick (autores do livro Managing the Unexpected: Sustained Performance in a Complex World, 2015), e que muito fizeram para apoiar a avaliação e construção da resiliência nas empresas.

As Organizações de Alta Confiabilidade (HROs) são aquelas que conseguem cumprir seus objetivos apesar de operarem ambientes extremamente complexos e com alto risco de desastres e acidentes. Elas buscam minimizar os erros por meio de forte trabalho em equipe, elevada consciência de riscos potenciais e busca incessante pela melhoria constante. Dentre os exemplos de empresas HROs, encontram-se usinas nucleares, empresas de gestão de tráfego aéreo, hospitais, indústrias de óleo e gás, etc.

As HROs conseguem fazer isso seguindo 5 princípios, conforme mostra a Figura 2 abaixo:

1. Preocupação em prevenir o fracasso

 As HROs dedicam tempo e recursos significativos para prevenir falhas de forma proativa. Os cenários são cuidadosamente planejados para antecipar defeitos tanto nos processos atuais quanto nas melhorias planejadas que poderiam levar a falhas ou mal-entendidos. Através de auditorias constantes, recolhimento e análise de dados, bem como da construção de dashboards de indicadores, as organizações podem identificar processos que necessitam de melhorias. Pequenas falhas e quase acidentes são tratados como sintomas graves de problemas maiores no sistema que devem ser identificados e resolvidos em tempo hábil.

2. Sensibilidade à procedimentos operacionais

As HROs são organizações altamente complexas e que possuem muitos sistemas interligados que devem trabalhar de forma coesa para o correto funcionamento das operações diárias. Isto é ainda mais crucial em tempos de crise. Ser sensível aos procedimentos operacionais significa desenvolver uma visão completa e detalhada de seus processos e operações, bem como uma compreensão geral de como esses processos se cruzam.

3. Compromisso com a resiliência

Quando surgem grandes desafios, as HROs estão preparadas para responder da forma mais eficaz possível para detectar e conter erros. Isso se dá através da disponibilização e implementação adequada de estrutura, recursos e cultura organizacional para antecipar pontos problemáticos, improvisar em situações inesperadas e corrigir erros em tempo real.

4. Deferência à capacidade técnica

As HROs valorizam a expertise acima da autoridade. Em condições de alto risco, é importante adaptar-se às circunstâncias em rápida mudança, o que requer conhecimento especializado para compreender a situação e responder tempestivamente. Os líderes das HROs sabem quem na organização possui conhecimento especializado e encorajam os colaboradores a manter suas habilidades e conhecimentos sempre atualizados.

5. Relutância em simplificar

As HROs são complexas por definição, portanto entendem claramente que encontrar soluções simples para problemas complexos é algo muito raro. Os líderes das HROs estão sempre abertos a desafiar crenças de longa data e analisar continuamente dados, benchmarks e métricas de desempenho para evitar simplificações.

Além dos 5 princípios descritos acima, um dos pontos centrais das HROs é o conceito de mindfullness (atenção plena). “Atenção plena” pode ser entendido como a qualidade que os indivíduos trazem à atenção e à consciência de si mesmos, de suas ações e de seu ambiente. As HROs desenvolvem continuamente processos e treinamentos de forma a aumentar a qualidade da atenção em toda a organização, resultando em um aumento do estado de alerta e da consciência dos colaboradores nas tarefas diárias e permitindo que eles detectem e atuem em pequenas variações que possam indicar riscos potenciais.

Concluindo: está claro que uma série de riscos de segurança cibernética novos e potencialmente inesperados continuarão a surgir durante os próximos anos. Ou seja: espere o inesperado. No entanto, as organizações podem fazer muito para gerir os riscos de segurança cibernética existentes e emergentes. E, para terem sucesso, devem sair da zona de conforto tradicional da segurança cibernética – que ainda tende a concentrar-se em controles técnicos e a dar maior ênfase à antecipação de eventos de risco – e também começar a apoiar cada vez mais o desenvolvimento da sua resiliência.