A decisão de registrar o ataque e como fazê-lo, considerando os impactos sobre a imagem da empresa, foi tema no Security Leaders, evento que acontece em SP.

A conveniência de divulgar ou não um ataque cibernético, considerando os impactos da notícia sobre a imagem das empresas, foi tema do primeiro talk show do Security Leaders, evento latino-americano sobre Segurança da Informação, que vai até amanhã em São Paulo.

Na opinião de Fernando Zamai, estrategista de Segurança da Informação da Cisco, a empresa precisa sim relatar o ataque. “Muitas empresas estão aumentando consideravelmente seus departamentos de segurança, isso leva o amadurecimento para as companhias em geral”.

Já Alex Aguirre, diretor de segurança da BT, defende uma análise caso a caso, observando que os ataques cibernéticos são variados e acontecem de acordo com os setores da indústria que estão em mais evidência. “Quando ninguém reporta nenhum ataque, parece que a realidade é perfeita. Por isso é preciso ter um estudo detalhado do setor que foi atacado e diferenciar para quem, onde e por que comunicar esse ataque cibernético. De nada adianta fazer uma comunicação generalizada”.

O maior tabu quando se fala em ataque cibernético é como cliente vê a imagem da empresa depois que se comunica um ataque, diz Thiago Suzano, gerente LATAM de Arquitetura, Middleware e Technology Standardrs do McDonalds. “Sempre reforço que a educação no comportamento digital é muito importante na hora em que vamos reportar um ataque. Eu não posso impedir que o meu cliente entre na loja e não utilize o wifi e compartilhe as informações com outras pessoas.”

Anderson Mota, especalista de Cyber Intelligence do Citibank, ressalta que a questão de compartilhar e publicar um ataque é muito importante para os clientes. “Hoje demora cerca de sete meses para uma companhia saber que foi atacada – e quem reporta essa informação é uma empresa especializada. Por isso, devemos avaliar com muito cuidado o reporte da informação, como o banco vai tratar os dados se for atacado”, explica.

Na opinião de Rodrigo Jorge, gerente de Infraestrutura de TI e SI da ALE Combustíveis, as empresas, de um modo geral, não estão preparadas para fazer esses registros, embora eles sejam importantes para o amadurecimento corporativo. “É preciso ter um estudo específico, um departamento de comunicação preparado e estruturado para divulgar esse ataque e gerenciar uma futura crise que pode vir. O que falta é maturidade de gestão na hora de avisar que a empresa sofreu um ataque cibernético. Sem reporte não há crescimento.”

Nesse sentido, Salomão Oliveira, gerente de Governança de TI e Segurança da Informação da Brasil Kirin, os primeiros a serem avisados em caso de ataque cibernético são o usuário e o cliente. “O primeiro a ser afetado é o cliente, por isso ele deve ser o primeiro a ser comunicado. E é preciso saber diferenciar um ataque cibernético de um incidente.”

Congresso Security Leaders

O Congresso Security Leaders está em sua sétima edição, que inclui um evento paralelo sobre Crimes Digitais, com curadoria de Renato Opice Blum, advogado especializado em direito digital. A programação deve reunir três mil pessoas na sede da Fecomercio SP. Com o apoio do Sebrae, o evento terá pela primeira vez o Security SMB, com painéis e rodadas de debate com líderes de TI e negócios de Pequenas e Médias Empresas.

“Os ataques cibernéticos exigem novas estratégias de defesas. Esse é um assunto muito relevante que deve ser tratado com importância, pois mexe com as informações que fazem toda a diferença no dia a dia das empresas”, diz Graça Sermound, organizadora do evento.

Fonte: ComputerWorld

Texto original
http://computerworld.com.br/especialistas-debatem-os-cuidados-na-hora-de-divulgar-um-ataque-cibernetico