Mário Gama (*)
Acompanhado do rápido avanço tecnológico e mudanças sociais decorrentes do surgimento de ferramentas digitais que auxiliam em práticas cotidianas e profissionais, uma série de incidentes relacionados à Segurança da Informação, vieram à tona recentemente, resultando em vazamentos de dados em diversas organizações, não apenas no Brasil, mas em todo o mundo.
Ainda que não seja um assunto novo para as empresas, este tema segue ganhando notoriedade e leis específicas para cobrir suas diversas nuances, ganhando destaque a Lei Geral de Proteção aos Dados (LGPD), que objetiva estimular a responsabilidade das empresas e a consciência das pessoas ao utilizarem, compartilharem e armazenarem de maneira correta e segura dados pessoais.
Apesar disto, ainda existe um longo caminho a ser trilhado para que as companhias possam mitigar tais incidentes e os ciberataques. Em uma rápida busca nos recentes noticiários, é possível observar inúmeros ataques cibernéticos – cada vez mais sofisticados –, afetando empresas de diversos portes e segmentos. De acordo com estudo da Deloitte, mais de 40% das organizações brasileiras já sofreram com ataques virtuais.
E nesse recorte, cerca de 90% investiram e reforçaram suas estratégias de cibersegurança apenas após o incidente já ter ocorrido. Ainda vale destacar o levantamento “Incidentes Relevantes”, do Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados (IBRASPD), onde é possível notar um salto de menos de 1 incidente relevante por semana em 2020, para mais de dois incidentes relevantes por semana, em média, em 2022.
Tendo em vista este cenário, o primeiro passo nessa jornada de cibersegurança passa pela compreensão da segurança como elemento prioritário na estratégia de negócio de uma companhia, deixando de depender exclusivamente da agenda orçamentária de TI. Integrando os conceitos de segurança na cultura da empresa e nos projetos relevantes da organização. Já deixamos no passado a Segurança da Informação como ferramenta apenas de controle.
Na abordagem de Jornada, a Segurança da Informação deve ser vista como viabilizadora dos negócios. Desta forma, uma boa estrutura de cibersegurança pode promover um ambiente mais sustentável para propostas de inovações e transformações digitais, além de direcionar os receios por parte de investidores e demais parceiros externos.
. Como garantir Segurança da Informação nas empresas – Para promover a proteção, é necessário que haja processos básicos, porém, definidos e aplicáveis.
É preciso estruturar, sobretudo, um conjunto de três fatores: recursos tecnológicos adequados ao negócio e seu apetite de risco, metodologias e processos de trabalho bem organizados com base em frameworks reconhecidos e principalmente orientação de cultura baseada na cibersegurança, que é fator decisório para o sucesso e melhoria contínua dos dois anteriores.
Assim, é de suma importância que as organizações transmitam aos seus colaboradores, que mesmo enquanto usuários, estão envolvidos como agentes de cibersegurança, uma vez que todo o conjunto de tecnológico e de sistemas trabalham de maneira integrada.
Em sequência, é crucial que as lideranças, através de um plano de Segurança da Informação, definam e reforcem os processos corporativos de proteção de superfícies de ataque e a conscientização dos usuários sobre estes ataques (Cybersecurity Awareness). Importante neste momento atentar para o cenário de empresas migrando, cada vez mais, para modelos de trabalho remoto e computação em nuvem, tornando estes pontos de atenção da Jornada de Segurança.
A migração neste caso não é apenas tecnológica, é de público, o qual deixará de ser aquele dentro de um ambiente de rede de escritório, e passará a ser aberto para a internet e também dos respectivos processos – novamente a tríade tecnologias, processos e pessoas mencionada anteriormente.
Esta expansão do perímetro digital amplifica a superfície de ataque, mas se aliada ao uso de processos inovadores e proteção aos dados, significa aumentar a defesa para com as partes que, de fato, interagem com as informações.
Por fim, é preciso reforçar os processos de gestão e monitoramento contínuo e resposta a incidentes de segurança (MDR – Managed Detection & Response), uma vez que os as informações passam a estar em um ambiente altamente disponível, com alta capacidade de processamento e com possibilidade de acesso de qualquer local, tanto para usuários lícitos do negócio, quanto para tentativas de acesso ilícito.
Desta forma, não basta garantir a segurança apenas no momento da migração, mas sim um ciclo de melhoria contínua durante todo o ciclo de vida do negócio.
. Benefícios da Jornada de Segurança da Informação na prática – Está claro que a estruturação de uma Jornada de cibersegurança promove um ambiente mais sustentável para propostas de inovações e transformações digitais, além de atenuar os receios por parte de investidores e demais parceiros externos.
Logo, compartilhar informações e expandir os conhecimentos acerca da segurança de dados – no ambiente digital ou não -, somado à otimização de processos e recursos tecnológicos, podem ser a chave para proteger as companhias dos crackers – que por sua vez, mostram-se cada vez mais organizador e qualificados.
Segundo pesquisa da Cybersecurity Ventures, é estimado que em 2021 os crimes virtuais movimentaram aproximadamente US$ 6 trilhões, valor que supera expressivamente qualquer estimativa de investimento global em cibersegurança nos últimos anos.
No Brasil, a situação é ainda mais delicada, segundo estudos da MasterCard e do Data Folha, uma vez que apenas 32% das companhias têm uma área de cibersegurança que as ajudem a proteger seus ativos. A segurança da informação já é parte do negócio nas empresas e talvez elas ainda não estejam percebendo.
Portanto, é imprescindível atentar-se em oferecer uma boa fundação de segurança para sustentar os negócios, além de cuidar das variáveis de risco para não deixar empresas e seus clientes sujeitos a riscos desconhecidos.
Por isso, o investimento em gestão, monitoramento, capacitação e em soluções de Segurança da Informação atreladas a cloud, que façam sentido com o contexto da organização, resultam em uma combinação estratégica, com boas práticas, times conscientes de suas ações e tecnologias de cibersegurança mais avançadas.
Com a implementação de recursos corretos e que estejam alinhados com as tendências do mercado e aderentes às necessidades de cada companhia, um ambiente digitalmente seguro por ser estabelecido e mantido com sucesso.
(*) – É Diretor de Cibersegurança LATAM da SoftwareONE, provedora global e líder em soluções de ponta-a-ponta para softwares e tecnologia de nuvem.