Com 285 mil invasões que deixam os sistemas indisponíveis aos usuários, brasileiros lideraram o ranking na América Latina em 2022
O Brasil é um dos países com o maior número de ataques cibernéticos do mundo. Na América Latina, o país lidera o ranking de casos de ataques do tipo DDoS, quando o invasor deixa os recursos de um sistema indisponíveis para os usuários. Houve mais de 285 mil ocorrências (39% de toda a região) desse tipo no segundo semestre de 2022, segundo a empresa especializada em cibersegurança Netscout System. Para especialistas, não é mais uma questão de ‘se’ as empresas forem atacadas, mas sim de ‘quando’.
Não à toa, a cibersegurança foi apontada como uma das cinco prioridades de conselhos de administração pela consultoria EY para 2023, e as falhas em segurança cibernética colocadas entre os 10 maiores riscos elencados pelo Fórum Econômico Mundial. Nesse contexto, o link entre o tema e o ESG (sigla em inglês para falar de questões ambientais, sociais e de governança corporativa) tem ficado cada dia mais claro.
“Os riscos cibernéticos já estão no topo da agenda de CEOs e integrantes da alta liderança. Afinal, uma eventual vulnerabilidade na segurança de dados ou nos sistemas de uma companhia pode trazer consequências em diferentes âmbitos: reputacional, operacional, legal e financeiro”, comenta Reinaldo Fiorini, sócio sênior eManaging Partner da consultoria McKinsey no Brasil. Para ele, uma boa governança -um dos aspectos de ESG – deve levar em consideração a segurança cibernética, a qual também precisa estar ligada às áreas de negócios.
Mercedes Stinco, coordenadora da comissão de gerenciamento de riscos corporativos do Instituto Brasileiro de Governança Corporativa (IBGC), destaca que os investimentos na área estão intimamente ligados à governança corporativa.
“Diante de um contexto de negócios cada vez mais complexo, com interdependência global e tecnológica, é imperativo que as organizações aumentem seu grau de resiliência e estejam preparadas para momentos de crise”, comenta. A executiva diz que as empresas falham em questões gerenciais, como a ausência ou ineficácia de processos, procedimentos e controles que poderiam minimizar o risco de ser vítima de um ataque. Algumas falhas são lapsos em atualizações de seus sistemas (‘patch management’), gestão ineficiente de acessos, não rastreamento das informações e não observância da gestão de segurança da informação aplicada a fornecedores e parceiros.
A falta de cuidado na conexão de sistemas com parceiros é outro ponto de atenção, de acordo com Vanessa Fonseca, diretora da prática de privacidade e proteção dedados da Accenture Brasil. Um relatório do Ponemon Institute e da IBM com 550 empresas atacadas em 2022 mostra que 17% delas tiveram violação causada por um parceiro atingido. “Conhecer melhor os fornecedores é benéfico em vários aspectos, que vão de prevenção de ataques a entender se estão cumprindo todas as leis trabalhistas em suas contratações”, diz.
Aí reside, porém, um obstáculo: como garantir que eles invistam em softwares de segurança, pessoas treinadas e tenham um plano de resposta a incidentes quando forem atacados? “Existe a barreira financeira. Em muitos casos, as grandes empresas precisam pagar para seus fornecedores cuidarem de privacidade, investirem em segurança e treinarem funcionários”, destaca Fonseca. Sugere ainda que os contratos incluam cláusulas de segurança de dados e as empresas identifiquem o grau de exposição a informações dos terceirizados, podendo criar controles adicionais e verificação in loco.
A farmacêutica Pfizer é uma das empresas que já entenderam os riscos e, além de adotar práticas internas de segurança, tem política para parceiros de negócio. Um exemplo é a aplicação dos “testes de penetração”, simulações de ataques cibernéticos consentidas nos sistemas de possíveis novos parceiros para avaliar vulnerabilidades.
Marisa Marques, líder de client partner na Pfizer Brasil, conta que a empresa ficou ainda mais rigorosa em segurança digital nos últimos anos, em função do forte avanço da digitalização. “Pacientes e profissionais de saúde confiam que seus dados são coletados e utilizados de forma responsável. Como a confiança se consolida como o grande capital reputacional da nossa era, qualquer rompimento no pacto de segurança entre uma companhia e stakeholders põe em xeque a governança corporativa”, comenta Marques.
No setor de energia, também a digitalização que ajuda no ganho de eficiência amplia as vulnerabilidades. “Além do risco para operação remota de usinas, as informações digitais contêm dados críticos dos negócios da empresa, de clientes, de colaboradores, dos parceiros e das entidades com as quais nos relacionamos”, diz Carlos Sussmann Wagner, gerente de cibersegurança do grupo de energia AES Brasil. O executivo conta que, para evitar e mitigar riscos cibernéticos, é feito um monitoramento intensivo dos serviços e sistemas, testes e simulações e revisões constante nos processos para tentar se antecipar aos atacantes. Também investe em educação para colaboradores e parceiros.
“Muitos problemas são causados por funcionários e ex-funcionários descontentes, que fazem campanhas de difamação em redes sociais, tentam eles mesmos invadir os sistemas ou até ajudam invasores externos com login e senha e outras informações”, diz Camila Borba Lefèvre, sócia da área de tecnologia e comunicação do Vieira Rezende Advogados. Neste caso, ter ambientes inclusivos, respeitosos, políticas de remuneração atrativas, entre outras políticas que engajam os funcionários pode fazer a diferença.
Práticas que ajudam a prevenir ataques do tipo ransomware (*)
- Fortalecer a proteção da segurança cibernética para ativos-chave: ativos vitais devem ser protegidos mais fortemente do que os menos importantes.
- Envolver todos os funcionários: cada colaborador tem um papel a desempenhar na proteção da empresa por meio de práticas como o compartilhamento de informações confidenciais por canais seguros e ferramentas confiáveis para trocas de arquivos. Exercícios de segurança cibernética e outros esforços também apoiam na conscientização sobre os riscos que suas ações podem criar e como mitigá-los.
- Treinamento do quadro de funcionários com base no conceito de micro-segmentação, que significa treinamento de maneira personalizada, considerando cada papel na atuação da crise.
- Usar “defesas ativas”: as empresas líderes em segurança cibernética usam tecnologias avançadas para identificar sinais que podem indicar um ataquei minente, como tentativa de login e tráfego de redes de locais incomuns.
- Autenticação de vários fatores: mitigando a possibilidade de obtenção do acesso aos sistemas por meio do sequestro de senhas.
- Filtrar conteúdo da web e e-mail: remover o conteúdo suspeito antes que ele possa ser acessado.
- Fazer regularmente simulações e montar o planejamento das respostas a ataques cibernéticos: permite compreender capacidades e vulnerabilidades da empresa e capacidade de tomar decisões do time de executivos sob pressão.
- Elaborar um manual de resposta a crises a partir de insights obtidos nos treinamentos e recomendados por consultorias especializadas.
(*) Ransomware é um tipo de ataque que sequestra dados de pessoais e arquivos do computador de uma vítima ou informações sigilosas de companhias e ameaça publicá-las e cobra resgate
Fonte: McKinsey – Notícia do Valor Econômico – Por Naiara Bertão – 27/07/23
