1.484 ataques semanais que aconteceram nas organizações no Brasil, interrompendo seus negócios, crescem exponencialmente
A realidade é ainda mais assustadora quando a tecnologia de Inteligência Artificial está sendo utilizada por hackers para criar toda uma cadeia de ataques, por e-mails phishing, malware, macros, entre outros.
A resiliência cibernética nunca precisou ser levada tão a sério pelos negócios digitais.
“Na Valid estamos trabalhando para garantir mais do que a segurança dos sistemas de informação. Nosso compromisso é levar a cultura de CyberSecurity e de privacidade para as pessoas que operam nossos sistemas e tecnologias no dia a dia de trabalho. A nossa dedicação envolve processos, tecnologias e pessoas de diversas áreas para que a empresa siga entregando uma excelente experiência ao cliente, mesmo quando enfrentar eventos inesperáveis”, afirma Wagner Laurel, CISO e DPO da Valid.
Como boa prática de mercado, a Valid adotou o mais notável framework de segurança, o NIST – National Institute os Standards and Technology, unido com outras normas como ISO 27001 e CIS.
“Não existe uma resposta pronta para a implementação da segurança cibernética, mas os frameworks de mercado mostram um caminho já pensado e testado. É preciso se debruçar sobre os métodos e o negócio para criar a sua própria estratégia e cultura de segurança”, explica Laurel.
De acordo com o especialista, o primeiro passo é o alinhamento com os C-Levels. “É fundamental clareza sobre o que o board espera e o quanto está disposto a investir. O entendimento com a área de negócio oferece à TI clareza sobre as prioridades e expectativas”. Outro tema importante é o inventário de ativos, afinal, só é possível proteger o que se conhece.Com os inventários de ativos criamos indicadores da saúde de segurança, como: percentual do parque com segurança no endpoint (EDR, por exemplo); percentual de aplicação de patches (programas de correção) críticos; hardening (técnica de blindagem de sistemas) e gestão de identidades e acessos. Todos são importantes na abordagem de segurança em camadas. Uma visão sistêmica dos processos acompanhada por indicadores são fundamentais para identificar, proteger, detectar e responder às ameaças cibernéticas”.
Cultura de segurança cibernética
O Plano de Continuidade de Negócio (PCN), documento que registra os sistemas e os recursos vitais com os devidos processos de recuperação testados e garante a continuidade das operações já é conhecido da maior parte dos negócios digitais.
Esse documento deve considerar as ameaças cibernéticas com um plano de testes para capacitar os times a tratarem incidentes dentro dos processos estabelecidos.
“Os chamados ‘testes de mesas’ garantem que as equipes estejam preparadas para tratar ameaças, seja de uma simples estação contaminada por malware na rede até de contenção de ataques provenientes da dark web, por exemplo”.
Mas se o seu plano for um documento isolado à TI, acenda a luz amarela. “Os cenários de riscos devem ser construídos e compartilhados com outras equipes para tomada de decisão em momento de crise. Profissionais precisam prever os riscos e planejar juntos estratégias de resposta à crise, juntamente com os times de clientes, comercial, RH, administrativo, compliance, jurídico e privacidade. Em caso de incidente que cause dano ao titular, as medidas previstas na LGPD de comunicação e transparência por parte do controlador dos dados devem ser tomadas”, comenta Laurel.
O gerente também afirma que resiliência deve ser medida e testada. “Derrubar um cluster, por exemplo, na hora e momento certo para não impactar o negócio e medir os tempos de recuperação darão resultados necessários para saber se o time está preparado para detecção, resposta e recuperação de desastres. Não se pensa mais ‘se’ e sim ‘quando’ um ciberataque vai acontecer”, explica o especialista.
A Valid, uma Trust Powerhouse que gerencia milhões de dados por dia, 7 dias por semana, é a prova que resiliência cibernética é parte da solução para oferecer a melhor experiência para o cliente.
Com processos de segurança vivos, atualizados, capazes também de acompanhar a evolução dos riscos, das necessidades do negócio e da própria tecnologia.
E o principal, de acordo com Laurel: com responsabilidade compartilhada com as demais áreas de negócio, incluindo o conselho.
“Proteger dados financeiros, de clientes, código-fonte de produtos, chaves de criptografia e outros ativos é uma responsabilidade coletiva”.
Entrevista com Marcio Nunes, diretor de tecnologia da Valid sobre Tecnologia e Inovação
Valid atinge Receita de R$ 1.879 milhões e Lucro Líquido de R$ 9 milhões em 2022
Sobre a V/Cert
A V/Cert é uma empresa especializada dentro do grupo Valid, dedicada especificamente à área de certificação digital.
A V/Cert faz parte da família Valid que tem mais de 65 anos de história: são mais de seis décadas de constante reinvenção, moldando e recriando soluções que contribuem para tornar o mundo mais dinâmico, interconectado, confiável e seguro.
A V/Cert faz parte da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), que é um conjunto de normas e procedimentos que regulamenta a emissão e o uso de certificados digitais no Brasil. Isso confere confiabilidade e validade legal aos certificados emitidos pela V/Cert.
Contato: Capital e regiões metropolitanas: 3004-3454 Demais localidades: 0800-725-4565
Acesse o Site da V/Cert e leia outros artigos publicados no Crypto ID aqui!