Estar protegida contra as ações dos “criminosos digitais” passa pela utilização de programas de proteção, conscientização que vai da alta gestão aos colaboradores e adequação às leis
Entre as principais ameaças de golpes voltados às empresas em 2022, no topo da lista estão os ataques cibernéticos. No Brasil, segundo dados do ano passado da Kaspersky, a média em oito meses foi de mais de 481 milhões de tentativas de infecção, são 1400 bloqueios por minuto. A pandemia de Covid-19 empurrou abruptamente tudo para o ambiente digital mudando aceleradamente o comportamento humano.
Para Fernando Nicolau Freitas Ferreira, fundador e CEO da AuditSafe, o fato de muitas pessoas não utilizarem há meses, por exemplo, dinheiro em espécie, pagando tudo com cartões de crédito e débito, PIX e outras formas eletrônicas acaba sendo uma vantagem para os criminosos, pois eles não se expõem fisicamente. “Do lado das empresas, antes da pandemia, os temas de segurança não eram prioridade, assim como ações reativas e corretivas, que só eram tomadas em casos de incidentes, ou seja, após a ocorrência. Agora, elas perceberam que devem tomar medidas preventivas para evitar ataques”, explica.
Um dos grandes problemas, além de mudança de cultura sobre cyber security, é que alguns gestores, CEOs e conselheiros de administração, que estão no topo, desconhecessem inclusive os termos técnicos. Ferreira, juntamente com o Instituto Brasileiro de Governança Corporativa (IBGC), observou esse cenário ao participar da elaboração de guias objetivos de segurança cibernética para ajudar os conselheiros em suas decisões. “Todos devem entender os riscos que não ter segurança da informação traz e parar de classificá-la como custo”, pondera. Ele avalia ser extremamente relevante que os conselheiros possuam conhecimentos sobre o assunto, pois é uma forma de terem embasamento para questionar sobre riscos, camadas de proteções técnicas, continuidade de negócios, incidentes, investimentos, tendências e outros.
Outro desafio importante às empresas, na visão de Matheus Jacyntho, diretor na área de cibersegurança da ICTS Protiviti, é o lado comportamental dos colaboradores. De nada adianta um equipamento de última geração, se a pessoa clica em um link malicioso e digita sua senha de rede em sites não confiáveis. Segundo a Knowbe4, a média de colaboradores que clicam em phishings cai de aproximadamente 16% a até 1,2% após um ano de treinamentos contínuos. “É imperativo a realização de treinamentos e campanhas de conscientização periódicas com TODOS”, alerta.
A tendência é que ataques como o ocorrido recentemente com a Americanas devam se tornar mais comuns em um futuro breve. Um estudo do Gartner estima que até o final de 2023, aproximadamente 75% da população mundial será regulada por novas leis de proteção de dados. Segundo Jacyntho, isso significa que um simples vazamento de dados pessoais pode gerar multas altas para empresas e eventuais ações de indenização por danos causados aos titulares, motivando um atacante ou um concorrente desleal a promover esse tipo de crime.
Além disso, o advento dos ransomwares (vírus que sequestra as informações e paralisa a operação da empresa) tornou os ataques altamente rentáveis para os criminosos cibernéticos. Os desenvolvedores recebem dobrado, pelo sequestro dos dados e pela venda dos seus malwares a outros criminosos. A disseminação de ransomware se tornou um negócio extremamente lucrativo, movimentando centenas de milhares de dólares anualmente.
LGPD e outras ações podem ajudar a empresa a se proteger dos “criminosos digitais”
Não existe uma fórmula mágica ou somente uma solução para se proteger contra os crimes cibernéticos, mas é possível adotar alguns passos para um ambiente mais protegido. Jacyntho cita alguns:
- Realizar treinamento e conscientização em Segurança da Informação entre os colaboradores;
- Instalar o Duplo Fator de Autenticação nos acessos remotos às VPNs (Rede Privada Virtual, em português);
- Utilizar uma solução de EDR (Endpoint Detection and Response) para bloqueio de ransomwares e criptografia de arquivos nos servidores, desktops e notebooks;
- Efetuar testes de invasão periódicos para identificar vulnerabilidades e riscos antes dos atacantes;
- Implementar o monitoramento dos eventos de segurança por meio de um SOC (Security Operations Center);
- Realizar a gestão das vulnerabilidades do ambiente tecnológico.
Uma aliada valiosa ainda é a LGPD (Lei Geral de Proteção de Dados Pessoais), pois ela procura fazer com que as empresas implantem processos bem definidos para justamente prevenir o sucesso dos ataques. Ela exigiu uma varredura corporativa em todas as atividades organizacionais relacionadas ao processamento de dados, objetivando o seu tratamento.
Em função dessas exigências, Jacyntho explica que as áreas de negócios, TI e jurídica tiveram que unir forças e definir controles tecnológicos e de cyber segurança, bem como estabelecer a governança de dados para buscar o enquadramento legal. “As empresas precisaram implementar processos contínuos para garantir o atendimento aos direitos de seus clientes, colaboradores e terceiros, chamados de titulares de dados de acordo com a LGPD, bem como criar a função do Encarregado de Dados Pessoais (DPO), que é responsável pela gestão e manutenção do Programa de Adequação à LGPD”, explica.
A nomeação de um Encarregado de Proteção de Dados (similar ao DPO na GDPR da Europa) pode ser de um profissional físico ou por empresas que prestam o serviço de “DPO As a Service”. De qualquer forma, esta figura deve ser responsável pelo programa de adequação à LGPD, mantendo as atividades de processamento atualizadas, respondendo aos titulares de dados no prazo definido e gerenciando eventuais demandas da Autoridade Nacional de Proteção de Dados (ANPD).
Matheus Jacyntho, diretor na área de cibersegurança da ICTS Protiviti
