A sociedade está ciente das implicações do uso de novas tecnologias para sua segurança e aceitaram o preço a ser pago. Se levarmos essa mesma situação para a indústria, podem ser permitidas falhas em termos de segurança cibernética nas empresas? Que implicações isso pode ter para organizações, clientes ou funcionários? Não perca este artigo, onde especialistas nos atualizam sobre o cenário de segurança cibernética. Vamos começar!
As empresas estão cientes da segurança cibernética?
Antes de tudo, e para saber se a segurança cibernética é um problema na mesa das organizações, devemos nos perguntar por que as empresas deveriam se preocupar com esse problema específico.
Uma das razões é a Transformação Digital. Alejandro Guasch, professor da IEBSchool com mais de 21 anos de experiência no setor de TI, explica que: “cada vez mais os ativos das empresas de valor são digitais e sua modificação e/ou roubo podem acarretar grandes despesas ou até mesmo em alguns casos seu desaparecimento”.
O motivo financeiro é o mais importante quando uma empresa entra no mundo da digitalização. Omar Jesús Orta, professor da IEBSchool e Diretor de Transformação Digital em Oesia, explica-nos: “As empresas estão cientes de que a cibersegurança é um risco importante, inclusive alguns setores identificam a cibersegurança como seu principal risco externo. O principal problema é que, no momento de investir, não existe uma estratégia concreta e as equipes de cibersegurança não conseguem ‘vender’ para a alta direção os benefícios do investimento para o negócio, portanto, a cibersegurança falha em atingir o nível sugerido na ‘mesa dos grandes’”.
Dado que as empresas devem se preocupar com a segurança cibernética se desejam criar um negócio sustentável ao longo do tempo, existem outras razões pelas quais elas devem integrar e evitar as ameaças que a segurança cibernética traz?
Para Omar, a preocupação com a cibersegurança na empresa deve estar ligada à sua digitalização: “as empresas estão na era da Transformação Digital, onde estão adaptando seus modelos de negócios para serem mais eficientes, melhorar a produção e ser competitivas em um mercado influenciado pelos novos clientes ‘nativos digitais’. Essa ‘transformação’ traz como consequência o uso de novas tecnologias nos diferentes processos de produção das empresas, desde o uso de dispositivos móveis para estar mais próximo das informações e poder acelerar a tomada de decisões, passando por novos canais digitais (redes sociais, internet, aplicativos etc.) para aproximar-se dos clientes e conhecê-los melhor, até o uso de RFID ou lâmpadas conectadas à internet para otimizar a produção”.
Então, quando surge o conflito com a segurança? Para Omar, à primeira vista, “o uso de novas tecnologias é interessante e parece a resposta para as necessidades dessa nova revolução ‘digital’ do mercado, e é! O problema é que, ao adotá-las, as organizações estão expandindo a superfície de ataque, ao contar com novas ‘things’ conectadas à rede e sem mecanismos de proteção apropriados”.
O especialista Alejandro Guash, diferencia essa preocupação em pequenas ou grandes empresas: “as pequenas e médias empresas menos, mas grandes empresas estão cada vez mais conscientes. Muitas empresas, independentemente do tamanho e dependendo do setor, consideram que isso não acontece com elas. Talvez possam não ser alvos de um ataque APT (Ameaça Persistente Avançada), mas um ransomware pode invadir (os discos rígidos do PC são criptografados a menos que pague um resgate), o que pode causar sérias perdas. Atualmente, são poucas as empresas que não dependem da informática”.
Outra variável importante na segurança cibernética é o cibercrime. Omar Jesús Orta aborda o tema: “O cibercrime tornou-se um dos negócios mais lucrativos do mundo. Já movimenta mais dinheiro que drogas, prova disso é que 95% dos ataques cibernéticos estão diretamente motivados por dinheiro e a informação empresarial (informações de usuários, contas bancárias, planos estratégicos etc.) têm um custo muito alto nesse mercado. O preocupante é que não apenas as grandes empresas são alvos, mas os criminosos cibernéticos visam toda a cadeia de suprimentos procurando o elo mais fraco para atacar, portanto, as PMEs são o maior alvo de ataques cibernéticos.”
“Em meio a esse cenário, no qual, graças à ampliação da transformação digital, a superfície de ataque é ampliada e onde o crime organizado encontrou nos ataques cibernéticos um negócio lucrativo. As empresas estão no meio de uma ‘tempestade perfeita’ que devem se preocupar e terão que tomar medidas para evitar perdas de clientes, impacto na marca ou até perdas econômicas.”
Ameaças de segurança cibernética enfrentadas pelas empresas
Todos sabemos que computadores e celulares podem ser facilmente hackeados, enfrentamos constantemente o roubo de informações pessoais. No caso das empresas, que perigos elas enfrentam em questão de segurança cibernética?
“As empresas enfrentam riscos significativos que colocam em perigo sua saúde financeira roubando informações confidenciais por meio de técnicas de ataque direcionadas. Por exemplo, o phishing é um dos vetores mais comuns para obter informações do usuário e, a partir daí, obter acesso a sistemas corporativos com o objetivo de acessar informações confidenciais das empresas; malware móvel, dispositivos móveis com informações corporativas já são o padrão nas empresas; esse vetor de ataque permite o acesso ao dispositivo móvel da vítima e a obtenção de informações corporativas; também é comum ver ataques contra a ‘inocência’ dos usuários e obter acesso aos sistemas corporativos. Para isso, os cibercriminosos costumam fazer uso de manobras de engenharia social”, explica o especialista em transformação digital Omar Jesús Orta.
Além disso, ele acrescenta: “Por outro lado, quando as empresas procuram novos canais digitais como um meio de abordar seus clientes, geralmente vemos ataques contra a imagem da marca/empresa; por isso, os cibercriminosos costumam usar difamação por meio de trotes na internet ou nas redes sociais. Ataques contra seus clientes finais para desacreditar a marca etc., que tentam desprestigiar as empresas diante de seus clientes e gerar perdas com eles”.
Por sua parte, Alejandro Guasch continua nessa linha, enfatizando que “as empresas enfrentam a ameaça que seus ativos digitais podem ser roubados para serem vendidos à concorrência e, assim, se beneficiar dos elementos diferenciais e poder ter uma vantagem competitiva. Esse vazamento de informações pode vir da equipe interna, de fato, como acontece na maioria das vezes. Também podem ser prejudicadas por um ataque de ransomware, como dissemos antes. Entrada de malware que pode utilizar os computadores para minerar criptomoedas.”
É óbvio que, quando as empresas não possuem essa segurança, devem assumir o controle e investir nessa infraestrutura. No entanto, quando já se sentem seguras, continuam enfrentando esses problemas, como Omar diz: “Outro perigo é quando as empresas se sentem seguras, porque possuem mecanismos avançados de defesa, mas não olham para seus fornecedores, então os cibercriminosos estão olhando para toda a cadeia de suprimentos, procurando o elo mais fraco para atacar e depois obter acesso.”
“Outro ponto a considerar que se apresenta de certa forma como um risco para os negócios é, por sua vez, a solução para outros problemas, falo do cumprimento regulatório, não ter controles suficientes no campo da segurança cibernética pode desencadear notificações significativas e multas consideráveis para os negócios”, conclui Omar.
Onde uma empresa deve começar em segurança cibernética?
“Primeiro, estabelecer políticas de segurança e seguir um roteiro que seja fruto de uma análise de risco, nos darão a ordem por onde começar e dependerá de cada empresa”, diz Alejandro, especialista em TI. Ele acrescenta: “Em todos os casos, a boa governança da segurança e conscientização dos trabalhadores são elementos básicos comuns na segurança cibernética”.
A educação em termos de segurança cibernética é um ponto comum entre os dois especialistas convidados. Omar, especialista em Transformação Digital, continua: “Acredito que as empresas devem começar educando e conscientizando sobre segurança cibernética, começando com seus Gerentes e depois com os demais funcionários, através de um plano de conscientização que visa gerar um ambiente de resiliência e criar uma barreira de primeira defesa contra os cibercriminosos.
E antes de começar a investir, deve ser definido um modelo estratégico de segurança cibernética, ou seja, um Plano Diretor que permita identificar os controles necessários para desenvolver e, assim, fazer um investimento saudável termos de segurança cibernética. Monitorar todas os meios ou ‘things’ (redes de TI, OT e IoT). Adequar seus processos aos marcos regulatórios aplicáveis”.
Dicas para melhorar a segurança cibernética na empresa
Agora, enfrentamos o desafio de melhorar a segurança cibernética dentro da empresa. Um dos pontos-chave para Alejandro Guasch é a conscientização dos trabalhadores: “tem mais efeito de proteção na segurança cibernética do que elementos complexos de segurança”.
Outro conselho dele é: “Se você compra equipamentos de segurança, precisa ser acompanhado por pessoal altamente qualificado para adaptá-los à rede e serem eficazes, de modo que se tenha em conta todas essas despesas, bem como as licenças que essas equipamentos precisam. Nesse setor, cerca de 3 anos de custos de licenciamento podem ser equivalentes ao custo inicial do(s) equipamento(s)”.
“Por outro lado, e eu já comentei, é muito importante seguir o resultado de uma análise de risco, tratá-lo como qualquer outro projeto e não se deixar ‘seduzir’ pelos produtos que os comerciais e pré-vendas das empresas de segurança nos apresentam”.
Por fim, Omar Jesús Orta aconselha as empresas: “Entenda que a segurança cibernética não pode ser resolvida apenas internamente, você deve procurar um parceiro especializado que construa confiança e o acompanhe no desenvolvimento de seu modelo estratégico de segurança cibernética, preocupando-se com sua imagem nos novos canais digitais, conscientizar todos os funcionários (foco nos gerentes) e se preocupar com toda a cadeia de suprimentos.”
Como qualquer mudança, a sociedade deve primeiro ser conscientizada para que se estabeleça definitivamente.