Todos os negócios estão suscetíveis a ataques cibernéticos, independentemente do tamanho e segmento. Os mais visados são do setor financeiro, hospitalar e de educação por serem mais lucrativos devido ao tipo de dado que armazenam
Klaus Kiessling, sócio de Cybersecurity e Privacidade na KPMG
Um mundo tecnológico trouxe muitos benefícios, mas também alguns desafios. Casos de vazamento de dados têm se tornado cada vez mais comuns, os mais conhecidos são de grandes empresas como LinkedIn, Facebook, Uber, Netshoes e Netflix, que foram acusadas de ter exposto de forma indevida os dados dos seus clientes. Na maioria das vezes, segundo Klaus Kiessling, sócio de Cybersecurity e Privacidade na KPMG, palestrante no 1° Circuito da Transparência da ANEFAC, que aconteceu em 1° de julho e abordou a segurança das informações e a privacidade de dados, alguns dos vazamentos mais comuns são oriundos do roubo de credencial privilegiada e de vulnerabilidades que foram exploradas, como por exemplo, a falta de aplicação de paths de segurança e de programas de conscientização e de gestão dentro das empresas para identificar as vulnerabilidades, classificá-las e elaborar um plano de ação.
Isso gerou movimentos que resultaram na criação de leis específicas em vários países para tratar do tema. Atualmente, as mais conhecidas são a GDPR (General Data Protection Regulation) na União Européia, a LGPD (Lei Geral de Proteção de Dados) no Brasil e a CCPA (California Consumer Privacy Act) na California (EUA). Falando ainda em segurança de dados tem um assunto bastante latente no momento que é o OpenBanking no setor financeiro. O resultado na prática, por um lado, tem levado as empresas a realizarem investimentos para elevar a maturidade dos seus controles de segurança na proteção e prevenção do vazamento de dados. Por outro, os clientes buscam se relacionar com companhias que podem assegurar a proteção e a privacidade dos seus dados pessoais e sensíveis.
Todas as empresas estão suscetíveis a ataques, independentemente do tamanho e do segmento. As mais visadas são dos setores financeiro, hospitalar e de educação por serem mais lucrativas devido ao tipo de dado que armazenam. Mesmo assim, a maturidade no cenário nacional, na visão de Kiessling, ainda é bastante baixa e se destaca apenas em determinados segmentos, como é o caso do setor financeiro e de telecomunicações, fazendo com que os demais segmentos sejam alvos fáceis de indivíduos e grupos que estão motivados a lucrarem ou ganharem notoriedade expondo as companhias. Mas uma coisa é certa: aquelas que não protegerem seus dados sofrerão com multas, impactos de imagem e barreiras comerciais.
Carlos Henrique Piacentini, diretor executivo de governança corporativa da Regional Paraná da ANEFAC
De acordo com Carlos Henrique Piacentini, diretor executivo de governança corporativa da Regional Paraná da ANEFAC e que também palestrou no 1° Circuito da Transparência, muito se fala da LGPD, mas as questões que envolvem segurança cibernética vão muito além disso. “Hoje, todos conhecem alguma pessoa ou empresa que tenha caído em algum tipo de golpe ou sofrido prejuízo decorrente de falhas de segurança cibernética, seja devido a aplicativos de celular ou até mesmo vazamento de dados bancários. Num ambiente de negócios cada vez mais digital, somente através de medidas de segurança cibernética é que as empresas terão condições de mitigar o risco de terem seus dados vazados e utilizados de maneira fraudulenta ou de modo a trazer prejuízos financeiros, pouco importando se essa é uma grande indústria, um pequeno comércio ou uma startup de tecnologia voltada para mídias sociais”, observa.
Mudanças não são apenas tecnológicas, envolvem cultura corporativa
Para resolver esse problema no Brasil, Kiessling acredita que, primeiro as empresas precisam passar por uma onda de conscientização muito forte. “A maioria dos incidentes de segurança da informação que envolvem vazamento de dados se dá por falta de atenção do usuário, que muitas vezes é vítima de engenharia social ou de algum malware que se aloja na estação de trabalho, após o ato de acessar ou baixar conteúdos maliciosos. Depois, é preciso a adoção de ferramentas que vão detectar e aumentar a camada de proteção, prevenindo com que os dados saiam do perímetro protegido, como é o caso de soluções de Firewall, IPS, DLP, criptografia, monitoramento de usuários privilegiados, gestão de identidade, de vulnerabilidade e de incidentes”, alerta.
A prevenção passa por várias etapas. “A primeira é fazer um diagnóstico de TI e instalar softwares de segurança. A segunda é criar e adotar um manual interno de boas práticas. A terceira é uma “cultura” interna e a quarta é a necessidade de treinamento. Para Piacentini, independentemente das soluções tecnológicas utilizadas pelas empresas para garantir proteção a ataques, elas sempre estarão expostas caso não invistam em treinamento e educação de seu próprio staff, para que tenha conhecimento de boas práticas para a prevenção de riscos cibernéticos, bem como aprendam a identificar rapidamente e-mails, sites, links e programas maliciosos, os quais, uma vez acessados, passam a expor as empresas a invasões de hackers”, diz.
Entre os principais riscos de cyber security estão desde indisponibilidade dos serviços a exclusão e/ou adulteração das informações, relacionados aos pilares de segurança da informação, que são: Confidencialidade, Integridade e Disponibilidade (CID). “Podemos destacar, o Ransonware, que é um tipo de malware que restringe o acesso ao sistema infectado com uma espécie de bloqueio e cobra um resgate em criptomoedas para que o acesso possa ser restabelecido. Este tem sido um dos grandes vilões desde sua primeira aparição com o WannaCry em maio de 2017”, ressalta Klaus Kiessling.
Lilian Primo Albuquerque da Silva, vice-presidente de tecnologia da ANEFAC
Ao complementar, Piacentini, cita que há ainda o acesso a sites e mensagens maliciosas e a adoção de senhas frágeis, formadas por dados pessoais comuns ao usuário, como por exemplo, o próprio nome, data de nascimento, nome da mãe, pai, filhos etc. ou por outras informações comuns que possam ser facilmente deduzidas, tais como nomes de times, cidades ou comidas preferidas. Bem como a utilização dos sistemas e acessos da empresa em equipamentos públicos, como computadores de bibliotecas, universidades e lan houses, inclusive de equipamentos de uso pessoal. “Além disso, é necessário implementar processos que venham a inibir o descumprimento das regras”, completa Lilian Primo Albuquerque, vice-presidente de tecnologia da ANEFAC, que mediou o evento.
Brasil está no topo de ataques cibernéticos
O Brasil é um dos maiores alvos de ataques cibernéticos do mundo, perdendo apenas para os Estados Unidos e China. Apesar disso, Carlos Henrique Piacentini entende que, as autoridades brasileiras de um modo geral mostram-se incapazes de tomar medidas efetivas para identificar as fontes desses ataques ou mesmo de criar regras claras para reprimi-los. Ainda que tenhamos percebido alguns avanços nesse sentido, especificamente falando da LGDP, a qual, desde o mês de agosto, passou a autorizar a ANPD (Autoridade Nacional de Proteção de Dados) a aplicar sanções àquelas empresas que descumprirem as normas ali previstas, será necessário ainda um grande amadurecimento das normas estabelecidas através de futuras regulamentações, para garantir um consenso sobre a adequada implementação dos procedimentos.
“Enquanto a regulamentação não vem a público e a própria ANPD ainda não esteja tecnicamente habilitada para o exercício das atividades das quais foi incumbida, caberá unicamente às empresas, por conta própria, adotar medidas capazes de prevenir futuros ataques e evitar o vazamento de dados que estejam sob sua tutela, sejam dados próprios ou de terceiros”, finaliza Piacentini.
O evento 1° Circuito da Transparência faz parte de uma agenda de debates com muito conteúdo em prol das empresas e fomento das melhores práticas da ANEFAC em comemoração aos 25 anos do reconhecido Troféu Transparência – Prêmio ANEFAC.FIPECAFI. A entidade organizou uma série de ações que visam colaborar com a bandeira da transparência para o mercado, trazendo temáticas importantes que estão sendo discutidas por toda a sociedade e mercado com a transparência. Abaixo você confere os conteúdos dos demais eventos.
2 ° Circuito da Transparência: Lei Anticorrupção ajuda a criar um ambiente de negócios transparente e ético
3 ° Circuito da Transparência: O que falta à transparência das questões ESG?
4 ° Circuito da Transparência: Compliance na Gestão de Terceiros