Em 2021, em todo o mundo, o número de ataques cibernéticos semanais aumentou 40% na comparação com o ano anterior, segundo o relatório da Check Point Research, empresa de inteligência em cibersegurança.
No Brasil, grande parte dos ataques cibernéticos estão focados nas instituições, e três casos marcaram o último ano. O primeiro deles foi o da JBS, que teve suas operações no EUA, Canadá e Austrália afetadas por uma invasão do tipo ransomware. A subsidiária da empresa nos Estados Unidos pagou um resgate de US$ 11 milhões pelos seus dados.
Alguns meses depois, as Lojas Renner foram hackeadas e tiveram parte de seus sistemas afetados. O site de compras ficou fora do ar por dois dias, o que comprometeu as vendas da empresa. A CVC também não escapou dos cibercriminosos: a central de atendimento da agência de viagens ficou indisponível e o site da CVC Corp, holding da operadora de turismo, também permaneceu fora do ar, mas segundo a companhia, nenhuma viagem foi impactada.
Hoje, com a Lei de Proteção de Dados (LGPD), que regula as atividades de tratamento de dados pessoais e multa as empresas que violarem a privacidade de seus clientes, um golpe de hacker pode causar um grande estrago, o que significa um prejuízo milionário para a maioria das empresas. Porém, uma das grandes consequências é a imagem manchada que a instituição ficará. “Ser hackeada gera a falta de credibilidade e falta de processos administrativos, um investidor não vai querer fazer negócio com essa empresa e um cliente também não vai arriscar”, afirma Carla Prado Manso, DPO da Compugraf.
Para entender como as empresas podem se proteger dos cibercrimes, o Startupi entrevistou especialistas.
Avaliar o sistema interno
Segundo Aldo Albuquerque, Vice President de Customer Delivery da Tempest, todas as empresas, independente do segmento e tamanho, devem investir em cibersegurança e para isso é fundamental olhar para os seus sistemas. Se é do mercado financeiro, por exemplo, deve refletir se os dados dos seus clientes estão seguros, se há possibilidade de transferir dinheiro sem autorização, qual o custo para o negócio se algum dado vazar, entre outras questões.
“Se a empresa for hackeada, ela pode até sumir. Como um banco digital, que não tem agência física, se o sistema dele cai, ele desaparece. Hoje, a cibersegurança não é mais facultativa, virou algo crucial para manter o seu negócio. Toda instituição tem sua vulnerabilidade para proteger e é preciso investimento”, afirma o especialista.
Outro ponto importante que Albuquerque reforça é que a cibersegurança não é um plugin que pode ser implementado no final do processo de uma empresa. Fazendo analogia a construção de uma casa, o lugar foi projetado nos mínimos detalhes e está pronto, mas se não pensar no encanamento primeiro, sairá muito mais caro quebrar as paredes e arrumar os canos – o mesmo acontece com a segurança.
“Se você tem uma empresa e nunca pensou na segurança dela, nos processos, testes e monitoramento, fazer isso depois pode sair muito mais caro e às vezes até inviável. O investimento em cibersegurança, independente do caixa da empresa, é fundamental e pode ser construído aos poucos, mas nunca por último”, explica o especialista.
O CISO é importante?
O CISO, diretor de segurança da informação, vem ganhando cada vez mais importância na estrutura organizacional das empresas. Atualmente, 36% das companhias dispõem do cargo designado como CISO ou possuem líder de Segurança da Informação em dedicação integral, segundo a 3º Pesquisa Tempest de cibersegurança. Mas será que esse cargo é fundamental para a cibersegurança?
De acordo com Aldo, a partir do momento que uma startup ou empresa começa a crescer, ela pensa na inclusão de um CISO. Esse cargo exerce a função de pensar 100% do tempo em segurança e acima de tudo, tem acesso direto aos executivos, o que garante uma agilidade na hora da proteção.
Para exercer um bom papel nesse cargo, o profissional deve ter um alinhamento grande com a estratégia do negócio. “Ele pode até fazer processos complexos e implementá-los, mas sem o alinhamento, a companhia não vai andar, porque as ideias serão proibidas. E ele não precisa ter trabalhado com tecnologia antes, mas isso é desejável, por ter uma experiência anterior e saber sobre as ferramentas”, explica o vice-presidente.
Com o conhecimento prévio, o CISO consegue priorizar as demandas fundamentais. “Sempre vai faltar braço ou recurso, então é interessante ele saber onde investir primeiro e o que corrigir. Ter a vivência técnica é muito bom, mas não é mandatório.”
Estratégias contra cibercrimes
GRC
Uma metodologia que tem chamado a atenção dos brasileiros pelos ótimos resultados de cibersegurança no exterior, segundo Carla Prado Manso, é a GRC – estratégia baseada na união de três pilares: Governança, Riscos e Compliance. “Esse sistema engloba estratégias que ajudam a organizar as operações, trazer transparência aos processos, maximizar a performance das atividades e diagnosticar eventuais ameaças que possam causar prejuízos para os negócios”.
Será implementado um comitê multidisciplinar que, novamente, avaliará por onde começar as mudanças e o que falta no sistema interno. “Compliance é o ato de seguir corretamente as leis, então quais são as legislações e regulamentos que são inerentes ao meu negócio? Estou cumprindo todas as leis? Então a GRC nada mais é que olhar para dentro de casa e ver para onde eu quero ir”, explica a DPO.
De acordo com Carla, a GRC exige processos claros, unificados e seguros, através da elaboração de políticas internas para nortear os colaboradores (por meio da governança), a varredura completa nos procedimentos para a identificação de falhas ou problemas prejudiciais à organização (por conta da análise de riscos), e a certificação de que as atividades desenvolvidas pela corporação obedecem às normas e legislações (graças ao trabalho da compliance e/ou conformidade).
Seguindo essa linha de raciocínio, a empresa passa a contar com um esquema padronizado de métodos e tomada de decisão. “O resultado dessa sequência de aprimoramentos é, principalmente, a minimização de ameaças e fraquezas contra golpes e fraudes, além de um melhor aproveitamento de oportunidades e a potencialização das forças da companhia”.
Inteligência Artificial
Outra estratégia de segurança cibernética, citada por Vinicius Gallafrio, CEO da MadeinWeb, é a utilização de Inteligência Artificial, que pode identificar códigos maliciosos, buscar por anomalias na empresa, reparação de danos realizados por ataques cibernéticos e auxílio rápido para combater invasões em andamento.
A equipe de TI ou de segurança pode usar IA para monitorar a Dark Web e identificar possíveis ameaças, buscando dados e informações caso a empresa tenha sofrido um ataque.
Cibersegurança baseado em nuvem
Um sistema de cibersegurança baseado em nuvem também é um importante aliado na segurança digital das empresas. “Com a ferramenta certa, você pode identificar ameaças com mais facilidade, evitando maiores problemas. Uma nuvem oferece fácil integração com a sua instituição e informações em tempo real sobre as operações de segurança ativas na empresa”, explica Gallafrio.
Blockchain como serviço (BaaS)
A tecnologia de blockchain é uma inovação no campo da segurança digital que pode garantir uma boa proteção para a empresa. Essa tecnologia foi projetada para ajudar a evitar violações de dados, fornecendo um banco de dados descentralizado sobre o qual nenhuma organização tem controle. Isso garante que nenhum indivíduo ou grupo tenha acesso a todas as informações e também ajuda a rastrear quem acessou informações específicas.
“Um ponto importante desta tecnologia é trabalhar com um provedor respeitável, pois algumas soluções BaaS são mais seguras do que outras. Além disso, é importante contar com uma empresa provedora de serviços de TI para a implantação correta do sistema na empresa”, reforça o CEO.
Transparência de dados
Mais do que proteger informações é importante saber onde elas estão armazenadas e de que forma estão seguras. Além disso, é importante rotular os dados da empresa. Caso haja ataque é possível fazer a rápida identificação de quais informações estão sendo roubadas e agir rapidamente.
