mitos segurança cibernética

Segurança Cibernética: Desvendando 5 Mitos e Verdades

Ir para outra seção

Visão Geral

A Pesquisa de Segurança Tecnológica de Negócios Globais, 2016, feita pela empresa Forrester, mostrou que 49% dos gestores entrevistados tiveram no mínimo uma violação de segurança cibernética nos últimos 12 meses. Desses entrevistados, 55% sofreram um incidente interno envolvendo um funcionário ou um parceiro de negócios terceirizado.

A pesquisa também listou os principais métodos de ataques cibernéticos externos: vulnerabilidades de software, interação do usuário (phishing, link malicioso ou anexo de e-mail) e uso de credenciais roubadas (logins e chaves de criptografia). Essas e outras estatísticas demonstram a necessidade de empresas e consumidores saberem os fundamentos da segurança cibernética.

Sem uma combinação eficaz de pessoal, processos e governança implementada com soluções tecnológicas, o risco de danos financeiros significativos às empresas é maior. Outras áreas – como reputação da marca, recursos humanos, operações, jurídico e entre outras – também podem ser afetadas.

Muitas vezes, enquanto as grandes organizações já possuem programas de risco cibernético mais sólidos, outras ainda assimilam vários mitos comuns sobre onde concentrar seus esforços relacionados à segurança. Esses mitos impedem a avaliação precisa do risco e das exposições e dificultam a implementação de medidas proativas que possam proteger os ativos críticos e permitir o tratamento correto de um eventual ataque cibernético.

Análise

Rocco Grillo, líder global de Serviços de Resiliência Cibernética da Stroz Friedberg, uma empresa Aon, destaca cinco mitos comuns sobre segurança cibernética presentes em empresas de todos os tamanhos e setores com as quais trabalha. De fato, a crença em qualquer uma dessas perspectivas pode contribuir para práticas inadequadas de gestão de riscos cibernéticos.

Mito N° 1: A segurança cibernética é apenas um problema do TI

O departamento de Tecnologia da Informação (TI) trabalha em tempo integral para implementar, atualizar e manter a tecnologia da empresa. No entanto, espera-se que o mesmo departamento também gerencie os riscos relacionados a essa tecnologia. Na medida em que as ameaças cibernéticas aumentam, as equipes de TI podem ser facilmente sobrecarregadas. A responsabilidade de gerenciar o risco cibernético recai principalmente sobre os especialistas em segurança da informação, independentemente se a empresa possui ou não um Diretor de Segurança.

Verdade: A preparação cibernética começa no topo e afeta toda a organização

Adotar uma visão abrangente de como o risco cibernético afeta várias áreas dos negócios é responsabilidade de toda a organização, tendo a diretoria um importante papel a desempenhar. Os executivos, inclusive da diretoria, devem conhecer os riscos específicos que afetam a segurança da empresa, especialmente em relação aos seus ativos mais críticos, e então garantir que os departamentos certos estejam envolvidos na elaboração de uma estratégia mais ampla. Dessa forma, a segurança cibernética não está apenas vinculada ao setor de TI, mas também aos negócios e aos executivos da organização.

Muitas empresas realizam exercícios tabletop de ameaças cibernéticas para simular possíveis cenários de um ataque ou violação real, envolvendo cada vez mais a equipe executiva e a diretoria. As empresas mais sólidas, com processos eficazes de governança e gestão de risco, consideram obrigatório incluir os diretores em tais situações. De fato, esses exercícios são mais bem-sucedidos quando visam cenários que envolvem os ativos mais críticos da empresa, permitindo direcionar seus esforços para o que realmente importa.

O exemplo dado pela diretoria e cargos de liderança gera níveis de confiança mais altos na empresa e ajuda a engajar seus gestores na avaliação das exposições ao risco cibernético. Essa perspectiva também ajuda na implantação da correção e dos programas de segurança cibernética necessários para prevenir contra os piores cenários em caso de ataques. Além disso, as equipes de segurança da informação terão apoio para reforçar os programas de treinamento, políticas e procedimentos em toda a organização.

Mito N° 2: A tecnologia é a solução definitiva
Enquanto a tecnologia é claramente parte da gestão de risco cibernético, somente os investimentos em tecnologia não resolvem o problema. Se uma empresa concentra seus esforços puramente na tecnologia de detecção de ameaças externas e crimes virtuais, ela corre o risco de ignorar o impacto do comportamento humano – malicioso ou não – na segurança cibernética. Pesquisas mostram que, das empresas que sofreram violações de dados em 2016, os insiders (ou seja, pessoas com acesso aos sistemas e informações da empresa) foram responsáveis por 43% da perda de dados. Quer seja simplesmente a curiosidade ou a falta de cuidado dos funcionários, esses fatos ignorados costumam ser os pontos mais fracos da “armadura” de uma empresa. Cada vez mais são desenvolvidas táticas maliciosas para driblar as tecnologias de segurança e explorar erros humanos simples.

Verdade: A tecnologia pode ser uma parte da solução, mas não a solução completa

As empresas devem não apenas verificar se sua tecnologia está atualizada, mas também implementá-la e mantê-la de forma eficaz. Para minimizar o risco interno, por exemplo, as empresas devem evitar que todos tenham acesso às informações e sistemas mais críticos e confidenciais. Qualquer acesso aos ativos críticos da empresa deve ser controlado por procedimentos rigorosos com base no princípio de concessão de acesso privilegiado.

A priorização de programas de conscientização, educação e treinamento de funcionários também é um passo importante para abordar as vulnerabilidades comuns relacionadas aos erros humanos, como anexos maliciosos em e-mails, táticas de phishing e senhas fracas. Garantir que toda a organização exerça uma boa “higiene cibernética”, como melhores práticas de controle de senhas, deve ser uma prioridade.

As tecnologias de segurança são uma parte essencial de qualquer programa, mas podem ser contornadas se não houver conhecimento e processos adequados para implementação, execução, monitoramento e manutenção. Esses esforços incluem a instalação de software de antivírus eficiente e a atualização periódica do hardware. Com ferramentas de segurança cibernética, muitas vezes consideradas um item importante em um programa de segurança, a configuração e a manutenção devem se concentrar em reduzir os falsos positivos nos alertas de segurança e garantir que os recursos apropriados estejam disponíveis para análise.

Do TI ao jurídico, compliance, recursos humanos, inovação nos negócios e outras áreas, é essencial criar uma equipe multidisciplinar que possa avaliar, gerenciar e responder aos riscos em diferentes departamentos e funções. Por fim, mesmo com a tecnologia mais sofisticada e avançada, é necessário que a empresa tenha uma cultura de segurança cibernética.

Mito N° 3: Conformidade regulatória significa segurança

Como visto recentemente, com o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, as agências reguladoras estão intervindo para tratar das questões de privacidade e dados do consumidor. Embora a conformidade com o regulamento seja necessária para evitar multas, ações judiciais coletivas e outras questões, a conformidade por si só não solucionará os ataques cibernéticos ou ameaças de segurança. Por exemplo, uma empresa pode estar em conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA), o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) e outras medidas ou regulamentações e, ainda assim, sofrer uma violação. A conformidade proporciona uma ligeira noção do perfil de segurança da empresa em um determinado momento, enquanto a segurança eficaz é um processo de melhoria contínua.

Verdade: A conformidade regulatória é apenas o mínimo

Embora as agências reguladoras criem regulamentos com foco na segurança, os requisitos de conformidade devem ser vistos com uma linha de base para apoiar a resolução na segurança cibernética. A conformidade não deve ser vista como a meta final de proteção, mas como uma oportunidade de melhoria contínua da condição geral dos dados. Investir na conformidade com as regulamentações de segurança cibernética também é uma chance de aprimorar a segurança. Por exemplo, as empresas podem identificar ou reclassificar ativos críticos e priorizar sua proteção. Além disso, a conformidade também é uma oportunidade de trabalhar com os principais interessados dentro da empresa para definir a tolerância de risco da mesma, ajudando a equipe de segurança a tomar melhores decisões de segurança cibernética.

Mito N° 4: Somente os setores que trabalham com dados confidenciais estão sob ameaça direta

Empresas que armazenam dados confidenciais, incluindo informações de identificação pessoal, dados de convênio médico, dados de cartão de crédito e informações pessoais de saúde, são alvos óbvios de ataques cibernéticos. Por isso, alguns setores, como serviços financeiros ou de saúde, têm sofrido maior regulamentação. No entanto, muitas indústrias também necessitam proteger segredos comerciais, propriedade intelectual e dados confidenciais. A convergência dos planos físico e digital através da Internet das Coisas (IoT) significa que as empresas enfrentam riscos além das violações de dados. Por exemplo, nos setores de manufatura, petróleo e gás, os ataques cibernéticos podem resultar em graves interrupções nos negócios. Além disso, as regulamentações abrangentes também podem afetar outros setores, como a educação.

Verdade: Empresas de todos os tamanhos e setores possuem vulnerabilidades

A Gartner prevê que, até o final de 2018, haverá o dobro de dispositivos móveis de funcionários a mais que os dispositivos de empresas, utilizados para o trabalho. No ano passado, as empresas tinham mais de três bilhões de conexões à Internet, introduzindo assim, uma série de riscos. Além do crescimento da tecnologia e do aumento de pontos de entrada para violações, o foco dos hackers também mudou. Cada vez mais, como os recentes ataques de ransomware demonstraram, os invasores estão explorando as vulnerabilidades com o objetivo específico de prejudicar as empresas além do ganho financeiro. Por exemplo, o ataque de ransomware exigindo algumas centenas de dólares dos usuários foi desenvolvido para causar danos e caos, não necessariamente para extrair altos valores. Todas as organizações, independentemente do tamanho ou setor, devem refletir sobre suas exposições específicas ao risco cibernético e implementar um plano completo para melhorar sua resiliência.

Mito N° 5: As empresas podem terceirizar um serviço juntamente com a responsabilidade e o risco

Empresas de todos os portes terceirizam processos regulamentados, como o controle de transações financeiras do setor de pagamentos. A lógica é que o processo de avaliar e verificar a conformidade é caro e, portanto, não compensa economicamente, principalmente se são poucas transações. Geralmente, a empresa que terceiriza uma função dessa maneira tem a percepção errônea de que a responsabilidade pela conformidade também foi terceirizada.

Verdade: As empresas é que são responsáveis pelo risco

Mesmo terceirizando operações e a gestão de quaisquer dados regulamentados, uma empresa continua responsável por tais dados em caso de ataques cibernéticos. No caso do setor de pagamentos, a empresa que processou o cartão de crédito será responsável por garantir que as práticas adequadas estejam em vigor para proteger os dados coletados na transação. Essa situação continua vigente mesmo se a responsabilidade pela violação for da central de atendimento da empresa terceirizada que processa as operações do cartão de crédito. Em muitos casos, essa empresa terceirizada também pode enviar parte ou todo o serviço para uma “quarta parte”. Este é apenas um exemplo que demonstra a necessidade de processos eficazes de diligência de riscos de terceiros nas organizações que terceirizam quaisquer funções, a fim de garantir a conformidade regulatória em todos os fornecedores.

A segurança cibernética está evoluindo rapidamente; portanto, identificar os riscos pode ser uma meta evolutiva. Sendo assim, as empresas devem permanecer vigilantes. Ao distinguir os mitos das verdades, as empresas podem se colocar em melhor posição para desenvolver uma defesa eficaz contra as ameaças cibernéticas.