‘Nunca se está preparado para uma invasão, mas é preciso treinar’
Para Paula Rebelo, da Cocamar, plano completo de segurança precisa incluir contingência. Sensibilização de boards é etapa fundamental
De uma diretoria que não acreditava na urgência do tema cibersegurança até um board profundamente implicado no investimento contínuo em soluções e planos de contingência. Esse é o cenário dos últimos cinco anos da Cocamar Cooperativa Agroindustrial, de Maringá (PR). Paula Rebelo, gerente executiva de TI e gestão da cooperativa, apresentou a trajetória da empresa durante o IT Forum Trancoso 2022, nessa quinta (21).
“A diretoria antigamente nem acreditava nisso, achava que nunca teríamos problemas. Com tantas notícias de gente sendo invadida, tantos casos, qualquer lerdeza no e-mail eles passaram a achar que estavam sendo invadidos”, resumiu a executiva.
Após um diagnóstico contratado de uma consultoria a respeito do nível de maturidade de segurança da organização, Paula liderou um projeto completo baseado em cinco grandes pilares, e que envolve desde a educação dos funcionários até a contratação de soluções de proteção e, por fim, um plano de reação em caso de invasão.
“O risco de invasão tem que ser entendido como risco para o negócio, do negócio parar e de reputação. A gente precisa de mais segurança, mas isso também exige mais restrições e mais investimentos”, ponderou a executiva.
Leia também: Analisar tendências é essencial para saber onde investir
O plano de contingência da Cocamar inclui uma sala de guerra e a definição de quem será acionado para que funções em caso de ataque. Níveis de ataque, unidades afetadas, autorizações para providências e quanto tempo o negócio pode ficar fora do ar. São algumas das perguntas respondidas por esse plano.
“A gente pode fazer tudo que for, mas nunca está preparado. Mas é igual a jogo de futebol: tem que treinar”, pondera a executiva. “Houve um episódio de invasão e colocamos em prática tudo o que tínhamos planejado. E se você não tem esse plano esquematizado, é muito mais difícil.”
Paula também lembrou que sempre riscos sempre existirão, e que é impossível prometer ao board que a empresa jamais será atacada. Ser invadido é um risco intrínseco aos negócios digitais, mas há formas de mitigá-los.
“Todos na empresa precisam estar cientes que a segurança da informação não é [responsabilidade] apenas da TI, mas de todos”, lembrou.
