A cibersegurança tem sido uma preocupação frequente em empresas de diversos segmentos. Principalmente depois da pandemia, quando se acelerou o processo de transformação digital e os modelos de trabalho precisaram ser readequados para que as organizações pudessem se manter em funcionamento.
Quer receber os conteúdos da TrendsCE no seu smartphone?
Acesse o nosso Whatsapp e dê um oi para a gente.
Nesse cenário, onde o presencial se mesclou com o trabalho remoto, os dados corporativos ficaram mais vulneráveis a ataques cibernéticos. Tanto que o número de ameaças virtuais aumentou em grande escala. A reboque veio, então, a necessidade de uma maior de atenção à segurança dos dados, onde a implementação de uma cultura de cibersegurança nas organizações se tornou essencial.
Sua definição, apontam os especialistas, abrange um conjunto de ações, métodos e tecnologias permanentes, a fim de manter informações em sigilo e garantir a segurança de computadores, redes e demais infraestruturas digitais em ambientes corporativos, assim como dos próprios usuários. E, nesse bojo, emendam estes profissionais, está a educação dos indivíduos, os quais acessam e fornecem dados a todo o momento, desde quando ligam o computador até quando desbloqueiam a tela do celular.
“A cultura de cibersegurança passa pela educação. Perceba que os ativos de informação de uma empresa, informações que tenham valor, passa pelas mãos de pessoas. Ao mesmo tempo, eles também estão presente na cabeça desses indivíduos. Ou seja, o ser humano carrega consigo esses ativos de informação. Então, tem que ser mitigado o risco de ele contribuir para um incidente de segurança da informação, seja sendo um alvo ou um meio para isso. Sem que haja educação, nós não podemos ter segurança da informação”
Marcos Monteiro, coordenador e professor de pós-graduação em segurança da informação da Unichristus e MBA em Informática Forense e que também preside a Associação Nacional de Peritos Forenses Computacionais (Apecof).
A computação forense, caso ainda não tenha ouvido falar no termo ou não saiba ao certo o seu significado, tem como objetivo investigar e ajudar a solucionar crimes, através da coleta de informações digitais de dispositivos eletrônicos.
De acordo com Monteiro, além dos meios tecnológico e intelectual, os ativos de informação costumam estar presentes ainda no meio físico, “então, todas as ações para implementar a segurança nas empresas, têm que passar por uma estrutura física que garanta segurança, segmentação e controles de acesos, “ou seja, por muitos aspectos relativos à segurança física e patrimonial do estabelecimento, que são triviais”.
“E embora exista um arcabouço de ferramentas para a segurança tecnológica, se deixarmos de investir na segurança intelectual, nada disso vai ser suficiente. Devemos perceber que todo o conjunto é importante, mas para que se tenha segurança da informação é preciso investir no meio físico, tecnológico e, sobretudo, no intelectual”, reforça.
Postura deve ser proativa
Para Roberto Rebouças, gerente-executivo da Kaspersky no Brasil, empresa internacional de cibersegurança e privacidade digital, a impressão que se tem é que as empresas apenas fazem um remendo em sua estrutura de segurança.
“Equipes de segurança no Brasil sempre agiram como bombeiros – apagando o fogo o tempo todo. Os dados mostram que isso ainda não mudou – quando há um incidente que explorou uma credencial (de funcionário, terceirizado ou cliente), por exemplo, o problema é corrigido e pronto. Mas não se leva em consideração que, se o criminoso entrou uma vez, vai procurar outra maneira de atacar”
Roberto Rebouças, gerente-executivo da Kaspersky no Brasil
Conforme o executivo, as empresas precisam adotar uma postura proativa para a sua segurança digital. “Uma forma de fazer isso é permitir que a equipe de segurança receba informações – serviços de Threat Intelligence (Inteligência de Ameaças na tradução livre para o português) – sobre as novas técnicas que os cibercriminosos estão utilizando e, a partir delas, ajustar as políticas e configurações de segurança em aplicações, serviços online e equipamentos”, fala.
“Outra ação muito importante são treinamentos de segurança para os funcionários e exigi-los também das empresas prestadoras de serviços. Isto pode parecer trivial, mas conhecimento pode evitar alguns problemas de autenticação que se apresentam”, ressalta Rebouças sobre a implementação da cultura de cibersegurança nas empresas.
Outra observação importante quando se fala em segurança digital, emenda o especialista, é a cibersegurança no setor industrial, uma área com potencial devastador, seja pelos danos por interrupção da produção ou pelos prejuízos financeiros. “Os segredos industriais são informações de extremo valor e é por isso que este segmento tende a ser um alvo atraente de ataques online”, justifica.
Apenas 40% das empresas reforçam regras de cibersegurança
As considerações e alertas feitos pelos especialistas ouvidos pela TrendsCE repousam em estatísticas alarmantes. Segundo dados da Fortinet Threat Intelligence, empresa especializada em soluções de segurança cibernética, foram registradas mais de 8,4 bilhões de tentativas de ataques cibernéticos no Brasil durante o ano de 2020, cerca de 21% dos 41 bilhões reportados em toda a América Latina e Caribe.
Somente no último trimestre do ano que passou foram identificados cinco bilhões de tentativas no país. Além do volume elevado de ataques, o grau de sofisticação também preocupa. De acordo com a Fortinet, são ameaças direcionadas e desenvolvidas com alta tecnologia, que, em poucas tentativas, podem ocasionar grandes prejuízos.
Nesse sentido, um exemplo que merece atenção, aponta a Kaspersky, é o crescimento de e-mail falsos. O número de casos detectados por meio da técnica spoofing, como é conhecida essa prática de falsificar e-mails de remetentes legítimos, quase dobrou entre abril e maio de 2021, passando de 4.440 para 8.204.
Conforme a Kaspersky, o golpe é formado a partir da adulteração do cabeçalho “De” das mensagens – ou seja, a forma como o nome e o endereço do remetente aparecem. Como o SMTP, principal protocolo de transmissão de e-mail, não oferece proteção contra esta ameaça, isto torna o uso bastante fácil para os cibercriminosos.
Neste tipo de crime, o objetivo é induzir os usuários a tomarem uma ação que beneficie o fraudador, como o download de malware (códigos e programas maliciosos), acesso a sistemas ou dados de terceiros, envio de dados pessoais ou mesmo a transferência de dinheiro.
Muitas vezes, esses e-mails parecem vir de organizações respeitáveis, pondo em risco não só as vítimas, mas também a boa reputação das empresas, cujo domínio tem sido usado para praticar fraudes. Além disso, e-mails falsificados podem fazer parte de ataques maiores e em várias etapas, como os que visam difamar as empresas.
E mesmo diante de tantas ameaças às vulnerabilidade encontradas nas organizações empresariais, o que se vê é que ainda um longo caminho a percorrer no que tange à segurança e implantação de uma cultura de cibersegurança nas empresas. Outra pesquisa recente da Kaspersky revela que apenas quatro em cada dez empresas brasileiras que sofreram um incidente adotaram novas políticas ou requerimentos adicionais para melhorar a segurança digital.
Análise de risco e a cultura da cibersegurança
Mas como implementar uma cultura de cibersegurança nas empresas? O primeiro passo, ensina Marcos Monteiro, consultor e presidente da Apecof, é a análise de risco.
“Então, quando a gente analisa isso, nós temos o que consideramos como risco. Após conhecer esse risco é que desenvolvemos projetos que visam mitigar, transferir ou até mesmo aceitar esses riscos. Esse é o primeiro passo”
Marcos Monteiro, consultor e presidente da Apecof
Conforme disse, o ambiente corporativo é um ambiente que costuma ser mais controlado, “porque se consegue definir padrões e controles, principalmente quanto à utilização de softwares piratas, definição de senhas com o mínimo de segurança, assim como se consegue definir regras de o funcionário poder instalar, ou não, determinados softwares dificultando, assim, a presença de malwares, ou seja, softwares maliciosos”.
“Do mesmo modo, dentro de uma corporação se consegue definir restrição de acesso a alguns sites, a alguma regiões do planeta mais suspeitas. Então a empresa consegue mitigar esses riscos e reduzir a probabilidade de ocorrência de incidentes. Porém, quando o funcionário passa a utilizar o seu computador pessoal em sua rede doméstica, ele, dono da máquina, tem permissão total de fazer qualquer coisa nela e aí isso aumenta a probabilidade de as muitas vulnerabilidades que aparecem serem exploradas. E aí temos um risco maior”, enfatiza.
Dessa forma, expõe Monteiro, com a readequação dos modelos de trabalho, “o que foi trazido pelo home office é o baixo poder que as empresas têm de monitorar e analisar e fazer uma perícia forense no computador que poderia ser utilizado para o cometimento de algum ataque cibernético”. “Uma vez que o computador pertence à pessoa e não à empresa, a organização perde o direito de monitorar e analisar esse computador”, pondera.
“O fato, é que sempre haverá risco. Assim, cada empresa deve fazer a sua análise de risco. Não existe uma forma de eliminar por completo os riscos, mas existem maneiras de diminuí-los. Eles são únicos para cada organização. Muitas vezes o impacto que pode ser alto em uma empresa ocasionado pela mesma vulnerabilidade, pode, ser baixo em outra”, afirma.
Por consequência, emenda, cada empresa deve fazer o seu estudo para poder saber onde investir. “Porque os tradicionais firewall, proxy, antivírus entre outros, sozinhos, não servem para muita coisa. Eles são apenas algumas opções, entre muitas, que precisam estar coordenadas para que o risco de um incidente de segurança da informação seja mitigado”, orienta.
Na sua avaliação, as pessoas conseguem ser responsáveis, por exemplo, pelo mal funcionamento de uma solução tecnológica que visa dar essa segurança. “De qualquer forma, partindo das ações mais triviais; jamais se deve utilizar softwares piratas; deve-se ser discreto nas redes sociais; evitar senhas com menos caracteres alfanuméricos; sempre que possível habilitar mais de uma fator de autenticação; não usar o sistema operacional no usuário administrador; e sempre manter todos os softwares atualizados. Por incrível que pareça, essas medidas são tão simples, mas resolvem a esmagadora maioria dos problemas de segurança da informação”, conclui.
Resiliência cibernética
Nesse contexto de aumento de incidentes de segurança da informação, tendo em vista principalmente a pandemia do coronavírus, e de como as organizações podem implementar uma cultura de cibersegurança, o professor Alzir Falcão, do curso de Ciência da Computação da Universidade de Fortaleza (Unifor), graduado em Administração e especialista em Informática, Redes de Computadores e em Desenvolvimento de Sistemas, chama a atenção para os resultados do quinto relatório anual da Organização Cibernética Resiliente que ouviu mais de 3.400 Profissionais de Tecnologia da Informação (TI) e segurança em todo o mundo em abril de 2020.
O objetivo, explica, era determinar a capacidade de suas organizações de detectar, prevenir, conter e responder a incidentes de segurança cibernética. Como resultado, a porcentagem de organizações que relataram ter alcançado um alto nível de resiliência cibernética aumentou de 35%, em 2015, para 53% em 2020, crescendo 51%.
“Uma empresa ciber resiliente pode ser definida como aquela que previne com mais eficácia, detecta, bloqueia e responde a uma diversidade de ameaças graves contra os dados, aplicativos e sua infraestrutura de TI”
Alzir Falcão, do curso de Ciência da Computação da Universidade de Fortaleza (Unifor)
Para ele, a fim de promover a cultura de cibersegurança em todos os lugares, a primeira decisão a ser tomada é estabelecer um plano de cibersegurança a partir de uma avaliação que responda a uma série de perguntas.
“Por exemplo: nossa estratégia e programa de segurança estão totalmente alinhados e integrados ao nosso negócio? Somos totalmente capazes de gerenciar nossas defesas contra ameaças crescentes? Temos as habilidades e ferramentas para detectar, coordenar, medir e relatar o que estamos fazendo para conter um ataque? Temos total visibilidade, em tempo real, de quem está acessando nossos sistemas e aplicativos de negócios?”, orienta.
Mas as indagações não devem parar por aí, expõe o professor. Perguntas como se há revisão regular da maneira como os dados são compartilhados entre aplicativos e sistemas, incluindo dispositivos conectados via IoT (Internet das Coisas); se há confiança na capacidade de proteger os dados onde quer que estejam; se as arquiteturas de segurança e risco são atualizadas por avaliações, métricas, projeções e painéis de informações gerenciais; e se o programa de segurança da empresa permite avaliar, construir e implantar aplicativos e suas cargas de trabalho seguros na nuvem, também dever ser respondidas.
“As respostas devem ser enquadradas em uma escala que varia de concordo plenamente; de certo modo concordo; nem concordo nem discordo; discordo parcialmente; e discordo totalmente”, ensina.
Conforme disse, o resultado de uma avaliação, feita por empresas especializadas, indica os caminhos a serem seguidos pelo plano de cibersegurança, que pode incluir desde a contratação de simples serviços, passando por soluções de segurança na nuvem, de gerenciamento de identidade e acesso, de segurança da informação, gerenciamento de eventos, de orquestração de segurança, automação e resposta, até soluções de segurança de dados para proteção dos dados corporativos, em vários ambientes, e o atendimento das novas regulamentações de privacidade.
Segurança de dados e a LGPD
Muitas vezes, a proteção dos dados não é apenas uma prática recomendada, mas uma regulamentação. O que é o caso da Lei Geral de Proteção de Dados (LGPD). A necessidade de estar em conformidade com ela tem colaborado para que as organizações invistam e implementem soluções e a cultura de cibersegurança nas empresas.
Mesmo com a LGPD em vigor e a Autoridade Nacional de Proteção de Dados – ANPD, órgão federal responsável pela fiscalização do cumprimento da lei, o Brasil ainda caminha gradativamente para o desenvolvimento de políticas de proteção de dados.
No entanto, contrapõe Marcos Monteiro, da Apecof, “a LGDP não movimenta, realmente, a cultura de segurança das informações das empresas”. “Eu ainda não vejo isso da forma correta”, afirma.
“Para que se entenda essa questão, a LGPD legisla apenas em cima de dados privados. Ela não legisla, por exemplo, em cima da possibilidade de uma empresa falir em decorrência de uma ataque cibernético. E isso pode acontecer. Dependendo do seu negócio, uma empresa pode simplesmente deixar de existir da noite para o dia em decorrência de um ataque dessa natureza. E mesmo após esse ataque cibernético, que possa vir a falir essa empresa, a LGPD vai chegar e vai saber se dentro desse ataque cibernético vazou algum dado privado. Se isto tiver acontecido, ainda vem uma multa que pode chegar a R$ 50 milhões. Então, ela legisla apenas sobre os dados privados”, justifica.
“Diante desse cenário, a primeira coisa que uma empresa precisa saber e decidir é se ela quer, ou não, manter em seu negócio dados privados. Por exemplo, eu vou a uma farmácia e o vendedor pede o meu CPF. A primeira coisa que essa farmácia vai ter que compreender e pensar é: vamos realmente continuar pedindo o CPF dos clientes? O fato é que eu consigo vender o produto sem o CPF, mas se aquele dado for pedido, o consumidor precisar ser informado para que ele vai servir e este dado precisa estar protegido. Ao mesmo tempo, se eu pedir para que o meu CPF seja excluído definitivamente da base de dados da empresa, a farmácia vai ter que provar que isto ocorreu”, considera.
Então, explica, “percebe-se que a LGPD exige uma série de definições de processos internos das empresas, parametrizações, procedimentos para que ela esteja de acordo com a legislação. “Porém, quando fala de segurança mesmo, da preservação, de mitigar os riscos de que os dados sejam vazados, observo que isto ainda está sendo muito mal implementado”, afirma.
Monteiro lembra que a segurança da informação começa na análise de risco, na identificação dos seus ativos de informação, onde eles estão, o que pode estar não só no meio tecnológico, mas também no meio físico ou intelectual e, depois disso, analisar o impacto daquele ativo de informação, e a concordância com a legislação. “Aí se chega à probabilidade de alguma ameaça, de que seja possível explorar alguma vulnerabilidade”, diz.
De acordo com ele, “o fato é que muitas empresas, estão tratando a LGPD como se ela, sozinha, fosse resolver a questão da cibersegurança, o que, na verdade, não é bem assim”.
“Implementar segurança da informação requer um grupo de trabalho polivalente, multidisciplinar, com pessoas da área de tecnologia, do direito, de recursos humanos e de muitas áreas de negócios para definir, passo a passo, como a implementação de uma cultura de cibersegurança nas empresas deve ser”, conclui.