Ataques cibernéticos que comprometem empresas e órgãos públicos cresceram nos últimos anos, especialmente durante a pandemia. Estudo da consultoria EY realizado em 2020 – “How Covid-19 is impacting future investment in security and privacy” – mostrou que houve um aumento de 300%?desse tipo de ocorrência?em relação aos meses pré-pandemia.
Os criminosos estão aproveitando as lacunas de segurança entre pessoas, tecnologia e processos para promover ataques mais sofisticados, como o ransomware, phishing, malware e ataque de DDoS. “As áreas de gestão de riscos de segurança não acompanharam o ritmo evolutivo das ameaças.
Não tiveram chance ou tempo de se estruturarem para, agora, estarem mais confortáveis diante do enorme volume e sofisticação dos ataques, que são orquestrados multipaís”, explica Marcos Sêmola, sócio de Cibersegurança da EY. ?
Consultor especialista em governança, risco e conformidade e membro fundador do Conselho Empresarial Brasileiro para Segurança Cibernética, Sêmola acaba de lançar a versão em inglês e atualizada do livro “Gestão da Segurança da Informação – Uma visão Executiva”, que pode ser baixado gratuitamente pelo link?https://www.infosecuritybook.com/.
“Operamos em um mundo globalizado.?Os?problemas atravessam fronteiras e as empresas precisam harmonizar suas áreas de segurança da informação,?para que elas possam manter sua eficiência além dos perímetros geográficos. Por isso, houve uma atualização e esta versão em inglês”, afirma.
Sêmola?explica?que o livro apresenta, de forma direta e didática, como a gestão de riscos deve ser elaborada?de maneira eficaz?na adoção de controles físicos, tecnológicos e humanos de maneira personalizada e integrada. Desta forma, as empresas podem reduzir e administrar riscos, operando em um nível de segurança adequado ao negócio.
. Qual é o problema das empresas em relação aos ataques cibernéticos?? – As empresas não deram a atenção devida à fase estruturante de sua governança de riscos nos últimos 20 anos e agora se veem com o seguinte dilema: apagar incêndios e estruturar o que não foi estruturado.
Elas têm essa dicotomia: estão?vivendo esse problema de ter de apagar incêndios cada vez mais frequentes,?maiores e mais impactantes para seus negócios enquanto têm de corrigir processos básicos de segurança da informação que já poderiam ter feito há muito tempo.??
Muitas empresas acreditam que a segurança da informação tem a ver com?compra de equipamentos e sistemas caros, como firewalls. Mas o livro mostra que não é bem assim. Qual é a recomendação?
As empresas precisam desenvolver uma visão integrada dos riscos. Essa visão integrada é uma visão que mistura ameaças físicas, humanas e tecnológicas. O mundo embarca em ondas de tendências e essas ondas – à medida que as empresas e as pessoas vão repetindo – viram uma verdade absoluta e ninguém mais olha para os demais conceitos.?
. E quais são eles? – O mundo resolveu denominar a “segurança da informação” de “cybersecurity”. Por que o mundo convencionou chamar assim? Porque entende-se que, com o advento da internet, o ciberespaço?virou um ambiente comum para as empresas e pessoas e nesse ambiente as ameaças à segurança da informação se proliferaram.
O problema é que, quando você olha para uma empresa e pensa em proteger o negócio, a receita, o lucro, os investidores e os clientes, você não pode pensar apenas no aspecto cyber dessa empresa. Os problemas não se limitam apenas a ataques cibernéticos, apesar de serem populares e cada vez mais volumosos.
O livro lembra as empresas e os líderes que o importante é proteger o negócio como um todo e a maneira de se fazer isso é ter uma visão integrada dos riscos físicos, tecnológicos e humanos. É fundamental tomar ações que organizem a capacidade que a área de segurança de uma empresa tem de ter e desenvolver.?
. Quais são essas ações que as empresas precisam ter? – Destaco que todas as ações incluem riscos físicos, tecnológicos e humanos. Primeiro, a empresa tem de ser capaz de identificar um risco. Segundo, tem de ser capaz de se proteger a si mesma, seus ativos físicos, tecnológicos e humanos. Terceiro, precisa detectar um risco que está se materializando, ou seja, um risco que está sendo explorado por uma ameaça. Em seguida, tem de responder a essa situação de crise.
E, por fim, se as quatro fases anteriores não forem suficientes para impedir o pior, ou seja, o impacto que aquele risco provocou na empresa,?ela?tem de ser capaz recuperar os danos e os impactos provocados por aquele risco que não foi evitado.
. A responsabilidade sobre os riscos cibernéticos está avançando para além das áreas de tecnologia? – Elas sempre avançaram. A área de TI é, sem dúvida,?uma das mais relevantes quando se pensa em segurança porque é para lá que os negócios estão levando seus produtos e serviços, produzindo receita e lucro. E é aí que mora o perigo.
É como se nós estivéssemos tentando proteger nossa casa e ficamos preocupados com a internet, o Wi-Fi e esquecemos de proteger a porta física. É como se estivéssemos olhando somente para as portas de acesso digitais e ignorássemos os riscos das demais portas físicas e humanas. Esse é o conceito e isso não é novo.
Então a mensagem por trás do livro é “back to the basics”, ou seja, dar a consciência que as lideranças?corporativas precisam para que sejam efetivas na gestão de riscos do negócio, olhando de maneira harmônica para riscos físicos, tecnológicos e humanos, olhando para as cinco funções descritas anteriormente (identificação, proteção, detecção, resposta e recuperação). E, claro, fazer isso de maneira orquestrada.
. Como as empresas podem operar em um nível de segurança adequado? – No livro, há um endereçamento dos problemas em cada área. Na segurança da informação, mostro como protegê-la durante todo o seu ciclo de vida cujas etapas são manuseio, armazenamento, transporte e descarte. É preciso, holisticamente, pensar no negócio, nas informações que têm valor não só no aspecto físico, tecnológico e humano, mas também nesses quatro momentos do ciclo de vida.
É preciso proteger a informação quando ela estiver em trânsito, sendo armazenada, manuseada e até mesmo quando ela é descartada. Mostro uma visão de que cada?problema e?cada risco precisa de uma ação específica, mas não sem observar o conjunto, o todo.
. As empresas estão com gargalos em que fase desse ciclo? – O maior problema que encontro nas empresas do Brasil e do exterior é que elas falham justamente no que o livro preconiza: entram em um modo de operação para apagar incêndios. É como se você tivesse um problema crônico de colesterol alto e não estivesse se organizando para mudar seu comportamento, holisticamente falando, como comer melhor e em horários regulados ou fazer exercícios.
Isso por desconhecer a importância dessa abordagem holística ou por achar ser tarde demais entra no modo reativo de tratamento dos riscos. Você vai lá e ataca o problema. Toma um remédio. São medidas paliativas que mitigam a consequência e não a causa. As empresas estão correndo atrás do próprio rabo, tentando sobreviver?diante de ataques múltiplos e simultâneos sem ter tido tempo de se estruturar para tratar esses problemas de maneira orquestrada.?
. Para a empresa que está nesta situação, qual é a sugestão? – Há um descompasso entre as áreas de segurança das empresas e a de negócio. As áreas de negócio impõem a si mesmas um ritmo, uma velocidade que a área de segurança não é capaz de acompanhar porque não está estruturada para tal.
Por isso entram em um modo de apagar incêndios. É inevitável pensar em uma segurança bimodal, um conceito em que terei de ter um time de segurança para a apagar o incêndio (porque ele está acontecendo) e um outro time de segurança que me ajude a construir?os alicerces que não foram construídos até agora. – Fonte: Agência EY.