Ataques cibernéticos: empresas estão no modo “apagar incêndio”
Em nova edição do livro “Gestão da Segurança da Informação – Uma visão Executiva”, especialista mostra como as empresas precisam se organizar para coibir ações de criminosos.
Marcos Sêmola, sócio de Cibersegurança da EY, Consultor especialista em governança, risco e conformidade e membro fundador do Conselho Empresarial Brasileiro para Segurança Cibernético (Foto: Divulgação/Agência EY)
Ataques cibernéticos que comprometem empresas e órgãos públicos cresceram nos últimos anos, especialmente durante a pandemia de Covid-19. Estudo da consultoria EY realizado em 2020 - “How Covid-19 is impacting future investment in security and privacy” – mostrou que houve um aumento de 300% desse tipo de ocorrência em relação aos meses pré-pandemia. Os criminosos estão aproveitando as lacunas de segurança entre pessoas, tecnologia e processos para promover ataques mais sofisticados, como o ransomware, phishing, malware e ataque de DDoS.
“As áreas de gestão de riscos de segurança não acompanharam o ritmo evolutivo das ameaças. Não tiveram chance ou tempo de se estruturarem para, agora, estarem mais confortáveis diante do enorme volume e sofisticação dos ataques, que são orquestrados multipaís”, explica Marcos Sêmola, sócio de Cibersegurança da EY.
Consultor especialista em governança, risco e conformidade e membro fundador do Conselho Empresarial Brasileiro para Segurança Cibernética, Sêmola acaba de lançar a versão em inglês e atualizada do livro “Gestão da Segurança da Informação – Uma visão Executiva”, que pode ser baixado gratuitamente pelo link https://www.infosecuritybook.com/. “Operamos em um mundo globalizado. Os problemas atravessam fronteiras e as empresas precisam harmonizar suas áreas de segurança da informação, para que elas possam manter sua eficiência além dos perímetros geográficos. Por isso, houve uma atualização e esta versão em inglês”, afirma.
Em entrevista à Agência EY, Sêmola explica que o livro apresenta, de forma direta e didática, como a gestão de riscos deve ser elaborada de maneira eficaz na adoção de controles físicos, tecnológicos e humanos de maneira personalizada e integrada. Desta forma, as empresas podem reduzir e administrar riscos, operando em um nível de segurança adequado ao negócio.
Qual é o problema das empresas em relação aos ataques cibernéticos?
As empresas não deram a atenção devida à fase estruturante de sua governança de riscos nos últimos 20 anos e agora se veem com o seguinte dilema: apagar incêndios e estruturar o que não foi estruturado. Elas têm essa dicotomia: Estão vivendo esse problema de ter de apagar incêndios cada vez mais frequentes, maiores e mais impactantes para seus negócios enquanto têm de corrigir processos básicos de segurança da informação que já poderiam ter feito há muito tempo.
Muitas empresas acreditam que a segurança da informação tem a ver com compra de equipamentos e sistemas caros, como firewalls. Mas o livro mostra que não é bem assim. Qual é a recomendação?
As empresas precisam desenvolver uma visão integrada dos riscos. Essa visão integrada é uma visão que mistura ameaças físicas, humanas e tecnológicas. O mundo embarca em ondas de tendências e essas ondas - à medida que as empresas e as pessoas vão repetindo - viram uma verdade absoluta e ninguém mais olha para os demais conceitos.
E quais são eles?
O mundo resolveu denominar a “segurança da informação” de “cybersecurity”. Por que o mundo convencionou chamar assim? Porque entende-se que, com o advento da internet, o ciberespaço virou um ambiente comum para as empresas e pessoas e nesse ambiente as ameaças à segurança da informação se proliferaram. O problema é que, quando você olha para uma empresa e pensa em proteger o negócio, a receita, o lucro, os investidores e os clientes, você não pode pensar apenas no aspecto cyber dessa empresa. Os problemas não se limitam apenas a ataques cibernéticos, apesar de serem populares e cada vez mais volumosos. O livro lembra as empresas e os líderes que o importante é proteger o negócio como um todo e a maneira de se fazer isso é ter uma visão integrada dos riscos físicos, tecnológicos e humanos. É fundamental tomar ações que organizem a capacidade que a área de segurança de uma empresa tem de ter e desenvolver.
Quais são essas ações que as empresas precisam ter?
Destaco que todas as ações incluem riscos físicos, tecnológicos e humanos. Primeiro, a empresa tem de ser capaz de identificar um risco. Segundo, tem de ser capaz de se proteger a si mesma, seus ativos físicos, tecnológicos e humanos. Terceiro, precisa detectar um risco que está se materializando, ou seja, um risco que está sendo explorado por uma ameaça. Em seguida, tem de responder a essa situação de crise. E, por fim, se as quatro fases anteriores não forem suficientes para impedir o pior, ou seja, o impacto que aquele risco provocou na empresa, ela tem de ser capaz recuperar os danos e os impactos provocados por aquele risco que não foi evitado.
A responsabilidade sobre os riscos cibernéticos está avançando para além das áreas de tecnologia?
Elas sempre avançaram. A área de TI é, sem dúvida, uma das mais relevantes quando se pensa em segurança porque é para lá que os negócios estão levando seus produtos e serviços, produzindo receita e lucro. E é aí que mora o perigo. É como se nós estivéssemos tentando proteger nossa casa e ficamos preocupados com a internet, o Wi-Fi e esquecemos de proteger a porta física. É como se estivéssemos olhando somente para as portas de acesso digitais e ignorássemos os riscos das demais portas físicas e humanas. Esse é o conceito e isso não é novo. Então a mensagem por trás do livro é "back to the basics", ou seja, dar a consciência que as lideranças corporativas precisam para que sejam efetivas na gestão de riscos do negócio, olhando de maneira harmônica para riscos físicos, tecnológicos e humanos, olhando para as cinco funções descritas anteriormente (identificação, proteção, detecção, resposta e recuperação). E, claro, fazer isso de maneira orquestrada.
Como as empresas podem operar em um nível de segurança adequado?
No livro, há um endereçamento dos problemas em cada área. Na segurança da informação, mostro como protegê-la durante todo o seu ciclo de vida cujas etapas são manuseio, armazenamento, transporte e descarte. É preciso, holisticamente, pensar no negócio, nas informações que têm valor não só no aspecto físico, tecnológico e humano, mas também nesses quatro momentos do ciclo de vida. É preciso proteger a informação quando ela estiver em trânsito, sendo armazenada, manuseada e até mesmo quando ela é descartada. Mostro uma visão de que cada problema e cada risco precisa de uma ação específica, mas não sem observar o conjunto, o todo.
As empresas estão com gargalos em que fase desse ciclo?
O maior problema que encontro nas empresas do Brasil e do exterior é que elas falham justamente no que o livro preconiza: entram em um modo de operação para apagar incêndios. É como se você tivesse um problema crônico de colesterol alto e não estivesse se organizando para mudar seu comportamento, holisticamente falando, como comer melhor e em horários regulados ou fazer exercícios. Isso por desconhecer a importância dessa abordagem holística ou por achar ser tarde demais entra no modo reativo de tratamento dos riscos. Você vai lá e ataca o problema. Toma um remédio. São medidas paliativas que mitigam a consequência e não a causa. As empresas estão correndo atrás do próprio rabo, tentando sobreviver diante de ataques múltiplos e simultâneos sem ter tido tempo de se estruturar para tratar esses problemas de maneira orquestrada.
Para a empresa que está nesta situação, qual é a sugestão?
Há um descompasso entre as áreas de segurança das empresas e a de negócio. As áreas de negócio impõem a si mesmas um ritmo, uma velocidade que a área de segurança não é capaz de acompanhar porque não está estruturada para tal. Por isso entram em um modo de apagar incêndios. É inevitável pensar em uma segurança bimodal, um conceito em que terei de ter um time de segurança para a apagar o incêndio (porque ele está acontecendo) e um outro time de segurança que me ajude a construir os alicerces que não foram construídos até agora.
Fonte: Agência EY