Pode não ser uma verdade para todos, mas, até pouco tempo atrás, quase todas as empresas pensavam (ou nem sequer pensavam) em avaliar seus riscos cibernéticos e dedicar esforços/investimentos para mitigá-los. Investir em segurança da informação era majoritariamente uma obrigação para as empresas que possuem alguma forma de regulamentação ou modelo de governança corporativa que de certa forma impusesse essa necessidade.
Apesar dos tais incidentes de segurança sempre terem acontecido com empresas de todos os portes, basta buscar um pouco para lembrarmos de casos do início dos anos 2000 onde vírus como o Nimda e o Slammer causaram diversos prejuízos e indisponibilidades a uma grande quantidade de empresas ao redor do mundo.
E em nossa vida pessoal isso também é uma verdade. Quem faz uso de computadores pessoais há bastante tempo, lembra-se que desde os anos 90 os vírus assolavam a nossa vida e traziam problemas para nossos arquivos pessoais.
Além da digitalização dos serviços financeiros que trouxe a fraude digital, que abusava das fragilidades de segurança para roubar senhas de acesso e proporcionar a aplicação de fraudes nos clientes de instituições financeiras de todos os portes.
Hoje em dia, com a transformação digital já implementada, ou em curso, nas empresas de todos os portes, e naturalmente puxado por isso, o aumento na quantidade e impacto dos incidentes cibernéticos ganhou proporções preocupantes.
Segundo dados públicos de pesquisas, o mercado de crimes cibernéticos movimentou montantes que chegam a vários bilhões de dólares com tendência de crescimento ainda maior nos próximos anos.
Cito um “mercado de crimes cibernéticos”, pois hoje isso é realmente um mercado onde os criminosos encontraram uma fonte rentável de exploração para as diversas fragilidades de segurança das empresas e pessoas. Existe locais disponíveis na internet onde é possível comprar “kits” prontos para aplicar golpes financeiros, roubar senhas de acesso e até executar ataques de Ransomware.
No ranking da América Latina e Caribe, o Brasil é o segundo com mais registros de ataques cibernéticos, com 103,1 bilhões de tentativas, um aumento de 16% em relação ao que foi registrado em 2021.
Também temos a LGPD (Lei Geral de Proteção de Dados) que, há alguns anos, trouxe uma luz muito forte para as questões relacionadas à privacidade e necessidade de proteção dos dados pessoais coletados pelas empresas, colocando em lei inclusive a possibilidade de aplicação de multas que podem chegar a R$50 milhões em caso de descumprimento da lei.
Por esse cenário, e pela tendência de maior digitalização das empresas e a conexão de novos equipamentos à internet puxada pelos dispositivos IoT (Internet of Things), entender e gerenciar seus riscos cibernéticos se tornou algo cada vez mais importante e que deve ser uma preocupação para todas as empresas, de todos os segmentos e portes. É muito importante que todos saibam que estão sujeitos a passar por um incidente cibernético e que precisam investir em sua proteção digital.
Um ponto que é importante salientar e que com certeza terá um artigo específico para falar sobre, é o uso de serviços em nuvem (Cloud Computing), onde muitas empresas e profissionais acreditam que estão transferindo 100% da responsabilidade pela segurança do ambiente para o prestador de serviço.
É certo que a prestadora utiliza diversas ferramentas para aumentar o nível de segurança deste serviço, porém uma parte significativa da segurança continua sob responsabilidade da empresa que contratou. Claro, existem modelos e serviços onde esse trabalho é pequeno, porém mesmo nesse modelo, é responsabilidade da empresa que está contratando garantir que o prestador estará fornecendo um serviço com o melhor nível de segurança possível.
Quando falamos em investimentos em segurança, logo somos remetidos à necessidade de adquirir tecnologias caras e contratar grandes empresas especializadas na prestação de serviços do tema ou buscar profissionais especializados, o que de fato pode ser uma verdade.
Porém, é impossível fazer investimentos mais modestos, usar a melhor das tecnologias que já existem nas empresas, focar no que chamamos de higiêne cibernética, e com isso atingir bons níveis de segurança em nossas empresas.
Também chama a atenção para o assunto quando vemos movimentos, principalmente nos EUA, de empresas sendo autuadas e julgadas formalmente na justiça, assim como seus profissionais responsáveis, em decorrência de incidentes cibernéticos.
Assim, com a implementação de regulamentações (como as colocadas pela SEC – Securities and Exchange Commission) cada vez mais robustas que trazem obrigações para as empresas e responsabilização para seus administradores, aqui no Brasil também não é diferente. Determinados setores também já têm obrigações impostas por normativas e regulamentações setoriais.
Não podemos ignorar o impacto que as questões relacionadas aos riscos cibernéticos podem trazer para os países, com exemplos claros e reais recentes de guerras cibernéticas acontecendo em diversos locais do globo, se tornando uma preocupação dos governos e sendo necessária a preparação e definição de requisitos para proteção de infraestruturas críticas, como água, energia, finanças, transporte, entre outras que suportam a vida dos cidadãos em suas nações.
Enfim, a gestão dos riscos cibernéticos, a segurança das empresas e a eficiência de seus controles é um tema quente e bastante comentado no momento, e existe um universo de possibilidades para melhorar o nível de segurança cibernética das empresas. Espero trazer a vocês formas e opções para que isso seja feito dentro das possibilidades de cada um!