Na era moderna dos riscos, quaisquer eventos podem acelerar a velocidade do desenvolvimento de riscos ou aumentar a probabilidade de seus impactos nas organizações. Tais eventos podem ser tão diversos quanto devastadores incêndios florestais na Austrália, ou um surto do vírus mortal do Ebola na África Ocidental.

Para as organizações nos EUA neste mês, um ataque letal contra um alvo militar iraniano levantou preocupações sobre ataques retaliatórios, os quais o Sistema Nacional de Alerta sobre Terrorismo (NTAS) informava que poderiam vir com "pouco ou nenhum aviso". Esses ataques não são limitados às táticas tradicionais. Eles podem de ocorrer também na forma de ciberterrorismo. De fato, os alertas do NTAS reconhecem isso, afirmando que o Irã tem sido envolvido em ataques anteriores direcionados aos EUA e tem a capacidade de realizar ataques cibernéticos em infraestruturas críticas dos EUA.

Para os auditores internos, os alertas do NTAS devem estimular ações rápidas para avaliar ou reavaliar o posicionamento da segurança cibernética de suas organizações. Isto não está limitado apenas aos auditores localizados nos EUA, haja vista que muitas empresas americanas têm operações ao redor do mundo que podem ser alvos.

As organizações de hoje são altamente dependentes de sistemas de comunicação e outros que se baseiam em redes virtuais de comunicação. Ataques que comprometam essas redes podem ser mais do que apenas perturbadores; eles podem ser devastadores. À medida que o mundo vem adotando a facilidade de conectividade em tudo, desde a segurança domiciliar à operação de enormes sistemas de energia elétrica, ele também se tornou cada vez mais vulnerável a ataques cibernéticos que podem interromper ou até paralisar economias inteiras.

O Business Insider publicou um artigo no ano passado que expôs como esses ataques podem acontecer. Eles examinaram cenários preocupantes e reveladores que descrevem como um ataque coordenado e combinando múltiplos níveis poderia derrubar sistemas essenciais dos quais as empresas e o comércio dependem. Eles comparam com precisão as consequências deste tipo de ataque a um grande desastre natural, em que os sistemas de energia, água e transporte são desativados e os negócios correntes são interrompidos.

Alguns podem ridicularizar a probabilidade de tal cenário apocalíptico, mas essa probabilidade aumenta a cada dia, enquanto o mundo se torna cada vez mais dependente de sistemas altamente automatizados e interconectados. É por isso que proteger a infraestrutura pública de ataques físicos e virtuais é vital.

O IIA publicou no ano passado um Global Knowledge Brief somente para membros, que aborda o papel da auditoria interna na melhoria da resiliência de infraestruturas críticas. A Proteção Estratégica de Ativos Públicos vê o papel da auditoria interna nas entidades do setor público que são responsáveis ​​pela resposta e recuperação a ameaças naturais ou provocadas pelo homem a ativos públicos estratégicos, como redes de energia ou sistemas de água. Ela também aborda a   auditoria da adequação e da eficácia operacional dos controles de prevenção através das agências e entre níveis de governo.

A Protiviti forneceu outro recurso na semana passada, quando publicou um flash report que apresenta um resumo útil e conciso para a realização de uma avaliação organizacional de segurança cibernética. A revisão em nove pontos abrange medidas básicas, porém fundamentais, para avaliar quão bem uma organização se protege, detecta e gerencia ataques cibernéticos. Apesar de eu não repetir os detalhes do relatório aqui, eu posso compartilhar as nove medidas apresentadas:

• Reforce a conscientização sobre segurança.
• Identifique os sistemas mais críticos.
• Implemente controles mitigadores para proteger estas tecnologias críticas.
• Avalie todos os acessos a sistemas e redes de comunicação.
• Aumente a sofisticação das estratégias de proteção e detecção.
• Busque e compartilhe as informações mais recentes sobre ameaças virtuais.
• Atualize o processo de avaliação de risco relacionado a ameaças cibernéticas mais de uma vez por ano.
• Assegure-se que a organização possua um plano de resposta a incidentes apropriado e atualizado.
• Garanta que as defesas cibernéticas sejam adequadamente financiadas e com pessoal suficiente para gerenciar os riscos e ameaças em surgimento.

É fácil descartar a possibilidade de um grande e devastador ataque cibernético como improvável ou como apenas mais um Cisne Negro. No entanto, os Cisnes Negros - por definição eventos com baixa probabilidade e alto impacto - encontram uma maneira de aparecer de tempos em tempos. Estar preparado para eles, especialmente quando os riscos são tão altos, é imperativo.

Como sempre, eu aguardo seus comentários.

Divulgação:

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para um blog da InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.

Revisão Técnica da Tradução: Thiago de Oliveira Teodoro, CGAP, CIA, CRMA.