A preocupação não é mais se a empresa será atacada, mas quando. Muito mais do que se proteger, é preciso desenvolver resiliência digital, ter previsibilidade, investir em tecnologia e educação
Por Paula Bonini
Uma quantidade incalculável de dados entra na rede 24 horas por dia, 7 dias por semana. São informações de pessoas físicas ou jurídicas, do âmbito público e privado, que vão desde CPF, RG e CNPJ, até e-mail, nome de usuário, senha e registro de contas bancárias.
Nesse universo digital, os holofotes se voltam, cada vez com mais força, para as discussões que envolvem a segurança de dados, colocando em evidência um tema que diz respeito a todos nós, a cibersegurança.
“Em 2022, o Brasil sofreu 103,16 bilhões de tentativas de ataques cibernéticos, um aumento de 16% em relação a 2021, quando nosso laboratório FortiGuard contabilizou 88,5 bilhões de ataques”, afirma Frederico Tostes, country manager da Fortinet Brasil e vice-presidente de Cloud para a América Latina e Canadá.
São muitas as vulnerabilidades, mas Tostes destaca os ataques ransomware, que invadem sistemas para roubar informações por motivação financeira, cobrando dinheiro para devolvê-las e o software “wiper”, que limpa todas as informações do dispositivo invadido, deixando-o inutilizável. Também cita a chamada “vulnerabilidade Log4j”, uma espécie de falha colocada em meio aos códigos de execução para computadores e os malwares (softwares maliciosos), que foram os mais utilizados em 2022.
Para Marcos Oliveira, Country Manager da Palo Alto Networks no Brasil, não se pode negar que o Brasil enfrenta desafios significativos quando se fala em cibersegurança. Ele apresenta os dados mais recentes da Unit 42, unidade de Inteligência e pesquisa de ameaças da Palo Alto Networks, para mostrar o quanto o ransomware é uma ameaça crescente. “Os ataques de ransomware no Brasil aumentaram 51% em um ano. O país ocupa a primeira posição como o país mais atacado da América Latina pelo segundo ano consecutivo, e está no top 10 de países mais atacados do mundo”, indica.
Além disso, de acordo com ele, o phishing continua sendo uma das principais ameaças, além da engenharia social em que os criminosos manipulam e enganam para obter acesso não autorizado a sistemas e informações.
Atuando na área de segurança de informação há 33 anos, Marcos Semola, sócio-líder de Cybersecurity da EY para o setor de Energia LATAM, diz que durante as últimas três décadas aconteceram saltos muito grandes. Hoje, estamos no ápice da automação e isso propicia um efeito dominó, fazendo com que algo que acontece do outro lado do mundo, seja capaz de nos impactar e vice-versa.
“Uma peça pode derrubar outros países e empresas. Temos um nível de automação e interdependência muito maior”, ressalta, acrescentando que os criminosos são inteligentes e escolhem o melhor retorno de investimento.
Como se vê, estamos em uma corrida acirrada entre quem defende e quem ataca. Um cenário que nos faz questionar sobre o que, afinal, é preciso ser feito para acelerar os passos e fazer com que a defesa chegue na frente.
“Se há duas décadas, a ideia era proteger, hoje o conceito da segurança exige estar preparado para o pior. Quando você assume que não é capaz de garantir proteção máxima, começa a ter que desenvolver outras habilidades”, pontua Semola.
Na visão dele, as empresas precisam desenvolver 5 funções: identificar os riscos, proteger, detectar uma ameaça em progresso, responder a um risco que se materializou e recuperar os danos causados.
Um aspecto que prejudica o cenário, segundo o sócio da EY, é que as empresas e lideranças ainda não compreenderam o grau de relevância que a função de segurança tem para garantir que os seus planos de negócio se materializem e se sustentem.
Não há o envolvimento das lideranças de segurança da informação nos processos de criação de novos produtos e serviços. Para se ter uma ideia, uma pesquisa realizada pela EY Global Information Security Survey (2021), apontou que apenas 19% das empresas envolvem a área de segurança na fase de planejamento de um novo produto; 35% na fase de design, 13% das na implementação e 7% nas fases de testes. “4% das empresas nunca envolvem a área de segurança. Se eu estou exposto a ameaças constantes, por que não envolver a área de segurança nessas etapas?”, indaga.
Para Tostes, da Fortinet Brasil, a adoção de uma abordagem holística é a mais promissora. Além disso, ele menciona estudos que a Fortinet realiza e os resultados que mostram que as prioridades futuras serão investir em tecnologia avançada impulsionada por Inteligência Artificial e Machine Learning.
O Cyber Resilience Managing Director da Accenture, Marcus Bispo, ratifica a colocação. Ele acredita que, de fato, a aplicação de Inteligência Artificial pode ser uma chave para alavancar o patamar de proteção. “Por meio de IA é possível analisar e entender comportamentos suspeitos, antecipando a atuação de atacantes contra um sistema”, considera.
Apesar de não ser uma inovação, Bispo considera que o estabelecimento de políticas de Zero Trust também pode dar um salto significativo. “A prática preconiza o contrário do que acontece hoje nas redes em que a partir de um login com credenciais válidas, um usuário pode fazer qualquer coisa que esteja no seu perfil. Em um ambiente Zero Trust, não há confiança. É como se um segurança fosse destacado para acompanhar cada passo de um visitante, checando constantemente suas permissões e desconfiando o tempo todo”, compara.
Renato Opice Blum, Chairman da Opice Blum Advogados, acredita que a Inteligência Artificial, tem trazido benefícios para melhoria da cibersegurança, porém, entende que é preciso cuidado, pois o uso indevido pode trazer um efeito negativo. “A cada dia um novo aplicativo de Inteligência Artificial é criado, o que sustenta a constante evolução. Há inúmeros desafios éticos, a exemplo das necessidades de se seguir as leis de Isaac Asimov sobre IA”, cita.
O sócio líder da área de Cybersecurity & Privacy da PwC Brasil, Eduardo Batista, aponta outro tópico importante, que é a adoção de tecnologias e modelos que permitam a simplificação da defesa cibernética. “77% dos executivos no Brasil declaram que é complexo fazer segurança, principalmente pela necessidade da convivência entre o legado (estruturas criadas há 10, 20 ou 30 anos) e a inovação”, justifica.
Além disso, ele salienta que as empresas devem possuir processos de governança corporativa e gestão de riscos, que contem com a segurança cibernética. “Deve haver comunicação por meio de indicadores de risco entre os níveis tático, estratégico e conselho de administração para a correta interpretação do cenário de risco e tomada de decisão eficaz e transparente na redução, ou aceitação do risco”.
Saindo dos aspectos tecnológicos e entrando na questão humana, Bispo, da Accenture, pontua que o Brasil enfrenta o grande desafio da falta de uma cultura de segurança cibernética em diversos níveis. “O brasileiro, de modo geral, não é tão consciente e atento às possíveis vulnerabilidades encontradas a cada instante enquanto navegam, quando recebem e enviam e-mails ou mensagens instantâneas”, alerta.
Para ele, grande parte das vezes, o que define o próximo alvo de um ataque é uma vulnerabilidade, encontrada por algum robô que está vasculhando a internet. “Partindo dessa premissa, a maioria dos ataques poderia ter sido evitado se as empresas ou indivíduos estivessem focados em proteções básicas”, constata.
Resiliência digital garante continuidade dos negócios
Se o assunto é resiliência digital, não podemos negar que ela é essencial em um cenário onde a tecnologia tem grande influência em todos os aspectos da vida e dos negócios. “Essa resiliência diz respeito à capacidade de adaptação, recuperação e fortalecimento diante de interrupções, ameaças ou falhas relacionadas à tecnologia”, define Oliveira da Palo Alto Networks no Brasil.
Ele cita que a rápida adaptação às mudanças tecnológicas, como a migração para nuvem, a cibersegurança e a resposta eficaz a ataques cibernéticos são medidas cruciais para a resiliência digital das empresas.
Na concepção de Batista, da PwC Brasil, as estratégias de resiliência são fundamentais para que as empresas continuem a inovar, habilitar novos negócios e a operar com confiança que suas operações poderão ser recuperadas caso ocorra algum tipo de disrupção em função de ameaças cibernéticas. “Para a sociedade é a segurança da continuidade da prestação de serviços públicos, disponibilidade de produtos e bens de consumo sem impactos em sua cadeia de distribuição e a manutenção do relacionamento entre empresas e clientes”, resume.
A verdadeira resiliência organizacional requer coordenação entre todos os integrantes da alta administração. “Existem CEO’s que acreditem que não precisam agir porque a empresa já tem planos de gerenciamento de crises, continuidade de negócios ou recuperação de desastres. Mas até que ponto esses planos estão coordenados? A organização testou? A organização pode se recuperar dentro do prazo estabelecido como objetivo?”, questiona Bispo.
Nesse contexto, Tostes reforça a conhecida expressão, que diz que “a preocupação não é se a empresa será atacada, mas quando”. “Existem soluções integradas de segurança para se antecipar a esse risco que é uma ameaça para os negócios. Acelerar investimentos e planos robustos em tecnologias modernas e soluções integradas de proteção de dados e sistemas com certeza é um dos primeiros passos para a empresa ter mais resiliência digital”, finaliza.
Além das medidas citadas e da resiliência digital, existe outro fator determinante, que são as questões jurídicas e legislativas. “Um dos principais desenvolvimentos legislativos recentes é a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2020 e estabelece regras e diretrizes para o tratamento de dados pessoais por empresas e organizações, visando proteger a privacidade e garantir a segurança das informações”, lembra Tostes.
A LGPD cria a Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar e aplicar a lei.
O Brasil possui dois principais órgãos governamentais focados em segurança e defesa cibernética, o Gabinete de Segurança Institucional (GSI), e o Comando de Defesa Cibernética (ComDCiber). “Existe ainda, a Polícia Federal, responsável pelas ações diretas contra o crime cibernético, investigações e aplicação das leis”, comenta Bispo.
Há quatro decretos no Brasil que tratam de cibersegurança, mas que segundo Tostes muitas vezes se sobrepõem um ao outro e, por isso, não há uma linha norteadora. “O Gabinete de Segurança Institucional (GSI) está trabalhando na formulação de uma Política Nacional de Cibersegurança, que deve ser enviada ao Congresso como Projeto de Lei (PL)”, ressalta.
Para fortalecer a cibersegurança no Brasil, o Governo Federal promulgou a Convenção sobre o Crime Cibernético, firmada em Budapeste. “O Brasil, ao aceitar o convite do Conselho da Europa, passou a ser um dos países que aderiram a tal instrumento internacional multilateral, fortalecendo, assim, os laços de cooperação com parceiros estratégicos no enfrentamento aos crimes cibernéticos”, lembra Batista.
Maioria dos crimes acontecem por responsabilidade do usuário
“As pessoas precisam ter consciência da utilização dos equipamentos e mais cautela no uso”. A afirmação é do delegado Carlos Afonso, da Divisão de Crimes Cibernéticos do Departamento Estadual de Investigações Criminais (DEIC), da Polícia Civil de SP, que afirma que a grande maioria dos crimes e fraudes acontecem por responsabilidade do usuário, que comete um erro (atualmente chamado de engenharia social).
Para exemplificar, ele cita o caso de uma pessoa que abre uma conta em um banco, por exemplo. Muitas vezes, o contrato é claro e informa que a senha é intransferível, que o banco não liga, não manda mensagens ou solicita senhas para cliente, e que toda comunicação será através de seus aplicativos. “O cliente precisa cumprir com a sua parte, não atendendo a números que não estejam previamente cadastrados em sua lista de contatos, não respondendo a mensagens de números que não estejam previamente cadastrados e não clicando em nenhum link que lhe seja enviado, por mensagem de aplicativo ou por e-mail”, orienta.
Na visão dele, em busca de maior segurança, a polícia precisa ter a rastreabilidade das pessoas em seus logs de acesso, celulares e contas em referência de geolocalização on-line. “Vidas podem ser salvas e precisamos focar nisso”, diz.
Afonso garante que em nível de inteligência policial, as agências de segurança de todo o país têm tratativas não apenas internamente, mas também com outras agências de segurança internacionais. “Isso já vem sendo utilizado no nível de inteligência e não sistemicamente como ato de Polícia Judiciária apenas”, revela.
Transformação pela educação
Se tem um caminho que verdadeiramente pode contribuir para fortalecer a cibersegurança é a educação. “A mudança de mindset é fundamental para que possamos avançar mais rapidamente na questão da cibersegurança. Ela deve começar com a educação, tanto nas escolas como no ambiente de trabalho. As pessoas precisam entender que a segurança digital é tão importante quanto a segurança física. Além disso, é preciso investir em treinamentos e simulações para que todos estejam preparados para possíveis ameaças”, afirma Iltenir Junior, empresário e idealizador do CISO Forum Brazil, evento que será realizado nos dias 17 e 18 de agosto, em São Paulo, que tem a segurança da informação como tema principal.
“O CISO Forum Brazil pode trazer inúmeros impactos positivos para o setor de segurança da informação e cibersegurança no Brasil. Além de fomentar a discussão sobre o tema, o evento pode promover a troca de experiências e melhores práticas, estimulando a inovação e o desenvolvimento de novas soluções. Além disso, tem como objetivo principal, fortalecer o ecossistema de segurança cibernética, conectando profissionais e empresas, e dando visibilidade às questões de segurança digital no país”, explica Junior.
O Fórum visa promover uma troca robusta de conhecimentos, visando uma compreensão mais profunda das ameaças atuais e futuras, além das soluções disponíveis. “Acreditamos que a criação de um ambiente para o estabelecimento de parcerias estratégicas e o desenvolvimento de negócios é crucial para o fortalecimento do setor”, fala.
O CISO Forum Brazil 2023 vai contar com a presença de líderes de alto nível, buscará impactar políticas públicas, estimular investimentos e promover uma cultura de segurança cibernética em suas respectivas organizações. “Acredito que estamos dando um grande passo rumo ao avanço da maturidade da cibersegurança no Brasil”, aposta Junior.
Blum defende que é possível dar grandes saltos por meio da educação. “A educação é crucial para que as empresas amadureçam suas propostas cibernéticas. A troca de ideias e de experiências amplia o horizonte do conhecimento e facilita o desenvolvimento de resoluções dos desafios que a cibersegurança traz”, finaliza.
Reportagem da Jornalista Paula Bonini – Paula Bonini Comunicação & Assessoria
Desafiando as fronteiras da cibersegurança: Líderes e especialistas reúnem-se no CISO Forum 2023
Confirmado no CISO Forum Brazil, Marcos Semola ganha prêmio IAPP Vanguard Award Latin America
CISO Forum 2023- 17 e 18 de agosto
DÊ UMA OLHADA NOS EVENTOS QUE DIVULGAMOS!
Divulgamos e promovemos os principais eventos de tecnologia importantes para a economia digital que acontecem no Brasil e no Mundo. Confira aqui!
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!