Willian Caprino (*)
Em pleno 2022, ainda há empresas – de todos os portes – que deixam a segurança da informação em segundo plano nos seus negócios. Ou pior, o tema só é discutido internamente depois que algum incidente ocorre.
Não à toa, de acordo com uma pesquisa divulgada pela companhia de cibersegurança Sophos, 55% das 200 corporações brasileiras entrevistadas sofreram ataques de ransomware em 2021, em comparação com 38% registrados no ano anterior.
Nesse cenário, um dos principais motivos que facilita a ocorrência de crimes cibernéticos é o despreparo da equipe técnica e funcionários, que muitas vezes não são treinados para proteger suas credenciais. Os colaboradores de um grupo tendem a ser o elo mais fraco nesse quesito justamente pelo acesso que possuem aos dados.
De modo geral, isso faz com que os atacantes prefiram enganar um usuário e convencê-lo a fornecer informações do que tentar “quebrar” os controles e proteções tecnológicas. Ou seja, os trabalhadores precisam saber desse padrão e entender como podem ser enganados, de modo que se antecipem ao crime e, na sequência, reportem a suspeita a equipe de segurança, que também precisa estar preparada para analisar e lidar com essas situações.
Obviamente, há algumas defesas primárias que a empresa deve implementar independente da educação dos funcionários. É necessário que os chamados endpoints (na prática, as estações dos usuários, inclusive dispositivos móveis) tenham ferramentas que façam a triagem básica das ameaças que circundam os integrantes do time.
Nesse grupo de ações, estão incluídos antivírus, antimalware, proteção contra phishing, contra vazamento de dados, dentre outros. No entanto, é importante ressaltar que, apesar de indispensável, um criminoso bem preparado consegue passar por essa primeira barreira sem grande esforço.
Assim, o desafio de uma organização sobre protocolos de segurança da informação passa a ser a conscientização da equipe. Muitas vezes o usuário não tem conhecimento do valor dos dados aos quais tem acesso, nem da sua importância individual na cadeia de proteção desses elementos.
Antes do treinamento em si, para agir em situações de ataque, o funcionário deve ter dimensão da seriedade do tema e que não pode compartilhar informações sob nenhum pretexto, ou guardá-las em sites e aplicativos não permitidos. Não é uma missão fácil garantir o andamento desse ciclo preparatório, mas existem várias estratégias as quais a companhia pode recorrer para continuar gerando a segurança para as suas informações.
A recompensa para aqueles que atuam de forma correta é uma delas, por ser melhor que tentar “punir” os que se desviam. É preciso que o colaborador entenda o seu papel na proteção dos dados e tenha um canal simples, descomplicado e acessível para comunicar suas suspeitas de ataque.
Cumprindo esse papel, é justo que ele receba um feedback dessas comunicações e, quando possível, seja reconhecido e recompensado por participar. Feito o movimento de conscientizar, a preparação do time para lidar com crimes cibernéticos envolve uma combinação de treinamento e experiência.
O corpo técnico de segurança da informação de uma empresa poderá ser considerado bem preparado se os membros possuírem conhecimentos em cada um dos diversos domínios de atuação do segmento, pois a disciplina em questão é ampla e exige especializações específicas. Em suma, cada especialista deve ter domínio sobre um tema.
E se estamos falando de profissionais com formações enviesadas, também tratamos da atualização constante da organização sobre o mercado. Todos os dias novas ameaças surgem, bem como novas iniciativas para mitigar os riscos. Portanto, treinar, atualizar e a monitorar trabalhadores ininterruptamente é fundamental para uma gestão de proteção de dados eficaz.
Nesse sentido, a proatividade dos funcionários em buscar as novidades no setor, seja por meio de leitura de artigos ou em congressos e eventos, também é de extrema relevância. Contudo, vale frisar que, na prática, nem sempre é possível manter essa estrutura ativa com 100% de aproveitamento, uma vez que há pontos como a maior demanda de colaboradores especializados do que a oferta, custos operacionais e a falta de tempo para promover medidas protetivas efetivas em curto prazo.
Por isso, a contratação de empresas externas focadas no assunto também tem sido uma ótima alternativa para esses casos. Seja qual for a opção escolhida, a ação primordial para os executivos é investir em alguma forma de prevenção. A segurança da informação é um pré-requisito básico desde o início de qualquer projeto.
Avaliar os riscos, modelar as ameaças e implementar os controles necessários para que esse risco seja mitigado ao máximo não é mais um bônus para a organização, mas sim uma salvaguarda para evitar prejuízos financeiros e consequências negativas em sua reputação no mercado.
(*) – Com MBA pela FGV e certificação de Segurança de Sistemas de Informação pela (ISC)², é especialista em cibersegurança e diretor de desenvolvimento de negócios da Blaze Information Security (https://www.blazeinfosec.com/).