O apagão cibernético que ocorreu na manhã de 19 de julho de 2024 foi um marco que trouxe discussões sobre cibersegurança e os riscos da dependência global de sistemas tecnológicos. Esse incidente afetou diversos setores – desde saúde, aviação, finanças até educação – gerando impactos significativos em empresas ao redor do mundo.
A notícia se espalhou rapidamente, especialmente nas redes sociais, fomentando debates sobre a origem e as consequências desse apagão. Grandes nomes como Bradesco, Banco Pan, Azul Linhas Aéreas Brasileiras e hospitais particulares da Grande São Paulo foram apenas alguns dos afetados, trazendo a questão da vulnerabilidade digital para o centro das atenções.
Muitas pessoas se perguntaram: como algo assim pôde acontecer em pleno 2024? A resposta veio da empresa global de segurança cibernética CrowdStrike, que assumiu a responsabilidade pelo ocorrido. Em seu comunicado, a empresa explicou que o apagão foi causado por falhas em uma atualização de software, demonstrando que um erro em uma única empresa pode ter ramificações globais, especialmente quando essa empresa ocupa uma posição central no mercado de segurança.
Os efeitos desse evento não se restringiram ao Brasil. Países como Austrália, Hong Kong, Estados Unidos, Índia, França e Alemanha também passaram por situações semelhantes. Cancelamentos de voos, interrupções no trabalho e a indisponibilidade de aplicativos, são algumas das consequências acometidas por este fenômeno.
Costin Raiu, pesquisador de segurança cibernética, comentou ironicamente à CNN que o fim do mundo não virá pelas mãos das inteligências artificiais, como muitos temem, mas sim, por um erro de código em atualizações, que poderá se tornar uma reação em cadeia afetando sistemas em escala global.
O principal aprendizado desse apagão cibernético é a necessidade de todas as empresas estarem preparadas para responder rapidamente a incidentes dessa natureza. Para isso, é fundamental contar com uma equipe especializada, bem treinada e pronta para agir em momentos de crise. Aquelas que já possuem uma maturidade em cibersegurança enfrentaram menos prejuízos.
Este incidente serve como um alerta claro: a prevenção deve ser prioridade quando o assunto é cibersegurança. Erros como esse poderiam ser evitados com mais eficiência se as empresas adotassem uma abordagem proativa, em vez de reagir apenas após o dano feito.
Índice
A causa do apagão cibernético e suas consequências
O apagão cibernético, que causou impacto global, foi anunciado pela Microsoft, que revelou que o incidente ocorreu devido a uma atualização de código no sistema da empresa independente de segurança cibernética CrowdStrike. Esse problema resultou na paralisação de softwares de Tecnologia da Informação (TI) que interagem com o Microsoft Windows, um dos sistemas operacionais mais utilizados no mundo.
De acordo com o comunicado, 8,5 milhões de computadores da Microsoft foram afetados, o que representa apenas 1% dos processadores da empresa. Apesar da pequena porcentagem, isso ainda significa milhares de usuários prejudicados, com consequências sociais e econômicas significativas para a companhia.
Ambas as empresas, Microsoft e CrowdStrike, declararam que estão trabalhando juntas para reunir profissionais qualificados a fim de minimizar os efeitos do evento e restaurar os serviços aos clientes. Empresas como Amazon AWS e Google Cloud Platform também se uniram a esse esforço, colaborando para acelerar a recuperação.
Esse incidente gerou debates sobre o papel das grandes multinacionais de tecnologia, que controlam diversos sistemas interconectados. A dependência de provedores de serviços levanta o questionamento sobre a resiliência do mercado e a necessidade de diversificação de fornecedores e opções no mercado que poderia reduzir o impacto de futuras falhas.
+ Leia mais sobre: O impacto da inteligência artificial no mercado empresarial
Para ambas empresas, a principal lição aprendida foi a importância de garantir que todos os processos sejam minuciosamente verificados antes de implementar atualizações. A natureza interconectada dos sistemas de cibersegurança exige que as operações sejam realizadas de maneira segura, com um plano de recuperação de desastres bem estruturado.
Em uma declaração, a Microsoft ressaltou que o incidente é um “lembrete do quão importante é para todos nós, no ecossistema de tecnologia, priorizar a segurança nas operações e a capacidade de recuperação de desastres, utilizando os mecanismos disponíveis.”
No Brasil, o apagão cibernético criou oportunidades para hackers explorarem as empresas atingidas, oferecendo supostos serviços de solução que, na verdade, são armadilhas para phishing e outras atividades criminosas. Phishing refere-se a tentativas fraudulentas de obter dados sensíveis de forma ilegal. A NordVPN realizou uma pesquisa que indicou que hackers lucram na Deep Web mais 17 milhões de dólares com dados pessoais – e uma das formas de conseguir os dados é por meio do Phishing. Os dados mais vendidos e comprados são documentos, dados financeiros, acessos a contas e e-mails.
Fonte: NordVPN – Estudo de caso da Dark Web
A Gerência de Tecnologia da Informação alertou as empresas sobre a necessidade de redobrar os cuidados com e-mails, especialmente em contas corporativas. Embora medidas estejam sendo tomadas para filtrar essas mensagens, a possibilidade de que e-mails fraudulentos passem pelos filtros ainda existe, exigindo vigilância contínua.
Assim, além de lidarem com os prejuízos causados pelo apagão, as organizações brasileiras precisam estar atentas e orientar seus colaboradores sobre os riscos de ataques cibernéticos, reforçando também suas medidas de segurança digital.
+ Saiba mais sobre O cenário da segurança cibernética nas empresas
A importância da gestão de riscos em momentos de crise e o papel de um sistema preventivo para cibersegurança
O recente apagão cibernético mostrou como o mundo está mais digital e interconectado do que nunca. Se, por um lado, essa conectividade oferece inúmeras vantagens para as organizações, por outro, também expõe as empresas a crises de grande escala.
Por isso, a gestão de riscos tornou-se indispensável, prevenindo surpresas desagradáveis, tendo em vista que assegura a proteção dos dados sensíveis e contribui para a longevidade dos negócios. Durante crises, contar com uma equipe especializada faz toda a diferença, esses profissionais, devidamente treinados, atuam com mais segurança e eficiência. No entanto, para atingir esse nível de preparação, é fundamental estruturar as estratégias de gestão de riscos.
Essa estruturação começa com um mapeamento completo do setor em que a empresa opera, identificando possíveis ameaças digitais, como apagões cibernéticos, invasões hackers, e phishing. Em seguida, a equipe deve definir as melhores estratégias para lidar com cada uma dessas situações, listando os componentes que precisam de proteção, a urgência, os setores que podem ser prejudicados, as vulnerabilidades existentes e os possíveis danos.
Com tudo isso mapeado, as equipes podem desenvolver estratégias, políticas e procedimentos para responder a incidentes, além de iniciar treinamentos para orientar todos os colaboradores. Esse processo deve ser contínuo e revisado pelo menos uma vez por ano, garantindo que todos estejam atualizados.
+ Saiba mais sobre desenvolvimento de projetos e aplicações
Esse é o papel de um sistema preventivo, que se antecipa e se prepara para momentos de crise cibernética, protegendo informações confidenciais e garantindo a segurança de clientes e colaboradores, ao mesmo tempo em que mantém a empresa em vantagem competitiva no mercado.
O método GRC para o gerenciamento de riscos
O método GRC, sigla para Governança, Risco e Compliance, é uma abordagem utilizada no gerenciamento de riscos. Ele abrange os riscos aos quais uma empresa está exposta e envolve a forma como a organização é administrada e como ela se mantém em conformidade com as leis e regulamentações aplicáveis.
+Descubra como definir o melhor método de trabalho para sua empresa
Por ter uma abordagem que engloba os setores administrativos da empresa, o GRC acaba garantindo a integração através de um conjunto de medidas práticas que envolvem transparência, responsabilidade corporativa, equidade e prestação de contas.
Sendo assim, implementar o GRC ajuda no treinamento das equipes que atuam preventivamente em cibersegurança, uma vez que elas estarão alinhadas com os demais gestores, assegurando a conformidade com as estratégias estruturais estabelecidas. Este método é adequado para negócios que se tornam mais complexos ao longo do tempo e que necessitam de uma gestão eficiente das operações. Afinal, a cada ano, as empresas estão mais vulneráveis nos ambientes virtuais corporativos, adaptando-se às inovações tecnológicas, mas também se expondo a crimes cibernéticos.
A gestão preventiva e o GRC atuam juntos na garantia de ferramentas adequadas para tomada de decisões e na elaboração de estratégias para situações futuras. Abaixo, veja os três pilares do GRC:
Governança
A governança é responsabilidade dos gestores da empresa, que garantem que cada equipe trabalhe em conjunto para alcançar um objetivo comum. Isso envolve as decisões administrativas que serão tomadas e sua aplicação em cada setor, orientando os colaboradores com segurança e clareza.
Risco
O gerenciamento de riscos envolve o mapeamento das possíveis ameaças e pontos de fragilidade do negócio, sejam eles operacionais ou estratégicos. Ao realizar essa análise, torna-se possível identificar o nível de acompanhamento necessário e antecipar os imprevistos.
Compliance
Compliance, termo que deriva do inglês e significa “conformidade“, refere-se à garantia de que os processos estão padronizados e claros. Esta etapa assegura que a empresa esteja em conformidade com regulamentações, leis e normas, tanto internas quanto externas. É essencial revisar regularmente essas conformidades para mantê-las atualizadas e orientar a equipe de forma adequada.
Comunicação efetiva e a participação dos executivos para gerir a equipe
Ficou claro que a participação ativa de gestores e executivos é essencial para a implementação eficaz do GRC. Além disso, eles desempenham um papel fundamental na gestão de crises, sendo crucial que participem dos treinamentos, assim como as equipes de tecnologia da informação.
Quando o apagão cibernético ocorreu, os principais gestores das empresas precisaram se reunir para encontrar as soluções mais viáveis, seja para resolver o problema de imediato ou de forma provisória. Para que isso fosse feito de maneira assertiva, foi necessário demonstrar controle emocional e habilidades de liderança, tranquilizando os colaboradores e garantindo que os danos fossem minimizados. A comunicação eficaz foi essencial nesse momento, pois permitiu transmitir ideias claras e eficientes. Se o gestor se desesperasse, isso provavelmente desencadearia a mesma reação em outras pessoas, gerando um caos interno.
A comunicação eficaz é uma das soft skills mais valorizadas nas empresas, pois visa dialogar de forma clara e concisa. Apesar de sua alta demanda, essa habilidade não é comum a todos, o que a torna ainda mais necessária.
A sexta edição da Pesquisa de Tendências em Comunicação Interna, realizada pela Ação Integrada em parceria com a Associação Brasileira de Comunicação Empresarial (Aberje), destacou a importância da comunicação eficaz para os gestores. Entre as 245 empresas entrevistadas, 88% dos gestores afirmaram que valorizam e utilizam a comunicação interna, e 39% das empresas estão investindo em cursos para transformar seus líderes em comunicadores.
A habilidade de liderança está diretamente ligada à capacidade de comunicação, sendo essencial em momentos de crise para apoiar a equipe e evitar o caos.
Como um BPM pode atuar beneficamente em situações de crise
O Business Process Management (BPM) é uma ferramenta crucial para o gerenciamento eficiente dos processos empresariais. Por meio deste software, é possível integrar e mapear os processos, proporcionando mais controle e organização das demandas de cada equipe.
A implementação de um BPM , em situações de crise de cibersegurança, permite uma resposta mais ágil, já que as informações podem ser acessadas em tempo real. Além da facilidade na atualização contínua dos procedimentos, adaptando-se às novas necessidades e melhorando a estruturação de ações para controlar apagões ou ataques cibernéticos.
O Next BP da Next SI oferece uma solução completa, com módulos integrados que aprimoram a comunicação entre as equipes e organizam as demandas conforme as necessidades específicas, contribuindo para o aumento da produtividade.
Funcionalidades como CRM, Social Corporativo, Gestão Eletrônica de Documentos e Gerenciamento de Projetos foram desenvolvidas para atender às principais dificuldades dos nossos clientes, garantindo também a máxima segurança.
Com o Next BP, os gestores podem elaborar projetos de ações preditivas e promover treinamentos para que os colaboradores estejam sempre atualizados com as melhores práticas de segurança cibernética. Dessa forma, a empresa se torna mais segura e conquista uma vantagem competitiva no mercado.