Mais do que uma decisão imposta, o comportamento para garantir a segurança das organizações e evitar prejuízos depende de uma mudança de mentalidade que tem hora pra começar, mas nunca termina. Foto: (FLY:D/ Unsplash)
[10.04.2022]
Por Redação SC Inova, scinova@scinova.com.br
Um comportamento comum nas empresas e organizações que detêm dados que, se comprometidos, podem gerar prejuízo financeiro ou reputacional é, ao saber da ocorrência de um ciberataque, correr para implementar mudanças internas ou adquirir soluções “milagrosas” que prometem minimizar os danos de um eventual ransomware. Isso pode ser melhor do que não tomar atitude nenhuma, mas está longe de ser o comportamento ideal e esperado de quem tem na tecnologia uma ferramenta indispensável para o trabalho.
Tal atitude foi confirmada por dois estudos recentes que, quando analisados conjuntamente, dão uma dimensão do tamanho do problema: o Brasil é o 5º maior alvo global de ataques hackers a empresas, segundo a consultoria Roland Berger. Para a Deloitte, 90% das empresas que já sofreram ataques digitais realizaram investimentos em segurança depois de serem alvo.
A postura de “apagar incêndios” não é a mais adequada e é possível compreender isso por fatos muito simples: ela não impede que o prejuízo aconteça. Quando a ação é tomada, os dados já estão nas mãos dos cibercriminosos e, em alguns casos, a única saída vislumbrada é pagar pelo resgate das informações. Além disso, o impacto financeiro de uma atuação emergencial tende a ser muito maior que se o investimento preventivo em ações educacionais e voltadas à proteção de dados e aplicações fosse feito regularmente.
Mas há ainda outros cenários que não são considerados os ideais mas nem por isso são raros no ambiente corporativo brasileiro, como a implantação de medidas após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD). Para o especialista em armazenamento na nuvem Marcos Stefano, CEO da Armazém Cloud, “cybersecurity como cumprimento de uma obrigação legal pode até ajudar em situações muito específicas, mas acaba mascarando o tamanho do problema iminente e iludindo os executivos do negócio, que pensam que estão protegidos”.
Conforme a pesquisa Cybersecurity Brasil 2021, elaborada pela Embratel e publicada na edição especial da MIT Technology Review neste final de ano, o caminho para a ciber-resiliência passa por investimentos de múltiplas naturezas voltados à segurança digital. Os dados foram extraídos de uma série de entrevistas qualitativas realizadas com 218 empresas de diversos segmentos de atuação, desde as de agricultura até as de serviços financeiros. Em média, elas investiram cerca de R$ 1,7 milhão em segurança no último ano, mas isso não impediu que 46,4% delas tivessem prejuízos entre R$ 50 mil e R$ 2,9 milhões em função de crimes digitais.
“É possível que tenha faltado uma atenção maior a políticas perenes de disseminação de informação, capacitação e implantação de uma cultura proativa de minimização de riscos”, diz Stefano, “pois apenas 7,9% das empresas entrevistadas afirmaram manter projetos educacionais em cybersecurity. Quanto mais democratizado for o tema, menos tabu e mais fácil de envolver todos os colaboradores será”, afirma o especialista.
ATAQUE HACKER NAS ORGANIZAÇÕES: NÃO É SE VAI ACONTECER, MAS QUANDO
Um dos resultados da pesquisa aponta que os CISOs (Chief Information Security Officer) e CTOs (Chief Technology Officer) precisam colaborar com o entendimento dos CEOs (Chief Executive Officer) a respeito do valor que o investimento em segurança cibernética tem. Se isso não acontecer, será difícil contar com um orçamento realmente expressivo para que as ações de longo prazo sejam implementadas.
Alguns dos especialistas consultados no âmbito da pesquisa afirmam que os executivos e especialistas em segurança digital devem ser presença indispensável em grupos como o próprio conselho de administração. Para o sócio líder de cybersecurity da EY para o Brasil e a América do Sul, Demétrio Carrion, não basta que o profissional aconselhe. Ele precisa compartilhar o conhecimento que tem e fundamentar decisões sobre os riscos cibernéticos.
A própria consultoria EY apurou que nem sempre isso é uma realidade, e o resultado aparece nos números: empresas que participaram do levantamento tiveram receitas anuais de, em média, US$ 11 bilhões, mas investiram em cybersecurity pouco menos de US$ 5,3 milhões cada – o que corresponde a 0,05%.
Stefano, da Armazém Cloud, afirma que os baixos orçamentos para segurança da informação geralmente são justificados pela falta de apoio dos CEOs. “Nem sempre a narrativa de que em cybersecurity é muito mais barato prevenir do que remediar é bem construída. Precisamos levar o conhecimento de forma direta, usando a mesma linguagem dos executivos, fazê-los perceber quanto dinheiro as soluções pré-ataque vão custar e qual cifra irá pelo ralo caso a ação criminosa se concretize. Sem falar que, às vezes, a mancha reputacional é muito mais grave do que o prejuízo financeiro”, explica.
ACULTURAMENTO DO PÚBLICO INTERNO: FUNDAMENTAL PARA UMA ESTRATÉGIA PROATIVA
A pesquisa Cybersecurity Brasil 2021 investigou ainda qual era a natureza dos ataques identificados pelas organizações entrevistadas: 56% deles eram do tipo phishing e outros 22,6% usavam técnicas de engenharia social. Ambas as categorias são consideradas pelos especialistas como riscos evitáveis.
A estratégia por trás desse tipo de tentativa de ação criminosa é obter informações confidenciais por meio de mensagens falsas, mas construídas para fisgar o leitor e induzi-lo a clicar em um link malicioso. Com o trabalho remoto implementado por inúmeras empresas e instituições na esteira das mudanças provocadas pela pandemia, esse tipo de conteúdo pode fazer mais vítimas, sobretudo se vier disfarçado de uma mensagem do CEO ou de um colega de trabalho cuja autenticidade não possa ser verificada.
Neste sentido, Stefano orienta para a necessidade de um trabalho permanente com todos os colaboradores das organizações. A ideia, segundo ele, não é transformá-los em especialistas em segurança digital, mas deixá-los mais atentos aos padrões de “ofertas” feitas pelos criminosos digitais para que o primeiro escudo seja uma não-ação humana.
– Se alguém recebe uma mensagem suspeita e conhece os riscos que ela pode causar aos dados da empresa, dos clientes ou do público que se relaciona com a instituição, as chances de que essa pessoa clique em algum link ou atenda a algum pedido contido na mensagem (um call-to-action) são praticamente inexistentes – diz. Ele complementa reforçando a importância de que os colaboradores conheçam as ferramentas que utilizam e sejam vetores positivos de práticas seguras no ambiente virtual.
Programas de investimento em capacitações, a fim de permitir que os usuários dos sistemas das empresas saibam que processos executar diante de uma ameaça, dão contribuições relevantes para a manutenção de ambientes seguros dentro das organizações. Ao lado de uma rotina de testes aplicados periodicamente e simulações de riscos, eles compõem um método que contribui de forma relevante com a prevenção a ataques.
PARCERIAS ESTRATÉGICAS PODEM ACELERAR O PROCESSO DE ACULTURAMENTO
As ações implementadas dentro das organizações não devem ser isoladas. A cultura ciber-resiliente começa com a capacitação dos funcionários e a definição de medidas de primeiro grau, passa pela disponibilidade de serviços de proteção de redes e infraestrutura adequada para impedir a exploração de vulnerabilidades, mas deve se estender a todos aqueles que se relacionam com o negócio.
Isso passa pela contratação de fornecedores que estejam em sintonia com o propósito de garantir a segurança digital internamente, de modo que não se mantenham “proteções pontuais”. Ou seja: todos aqueles que vão trabalhar com os dados devem prezar pela segurança dos mesmos, para que não caiam em mãos erradas em nenhum ponto da cadeia.
– Escolher fornecedores estratégicos, que observem todas as questões de segurança e entendam a importância das ações de segurança é fundamental para garantir a tranquilidade do trabalho desenvolvido. A computação em nuvem e as suas diversas camadas de proteção, aliadas ao serviço prestado por equipes qualificadas, é uma garantia vital em favor da tranquilidade das empresas que lidam com ativos digitais que não podem ser perdidos, danificados ou usados por criminosos para a extorsão de dinheiro – finaliza Stefano.
Por fim, a perspectiva para os próximos anos é, segundo a consultoria Gartner, positiva: até 2024, 60% dos CISOs vão estabelecer parcerias com executivos de marketing, vendas e finanças, considerando que essas são áreas importantes para contribuir com a missão de proteção do negócio. Espera-se ainda que em 2025, 40% dos conselhos de administração terão um comitê dedicado à segurança cibernética sob a supervisão de um membro qualificado. Será um avanço importante, considerando que hoje, menos de 10% das instituições dispõem de algo assim.
LEIA TAMBÉM:
SIGA NOSSAS REDES