*Por Leandro Zilli
Não é de hoje que encontramos artigos e matérias que abordam a questão da dificuldade de grandes corporações entenderem a importância da Segurança da Informação e os benefícios em investir nesta área, por ser uma importante aliada no combate aos riscos e ameaças.
Mesmo com todos os recentes acontecimentos, são poucos os casos em que a Segurança da Informação deixou de ser mera coadjuvante nas organizações para fazer parte da estratégia nos negócios, atrair a devida atenção quanto aos investimentos e ser considerada no planejamento estratégico.
Para que estes investimentos sejam assertivos e realizados de forma estruturada, podem ser realizadas periodicamente avaliações dos controles da Segurança da Informação na organização, demonstrando o cenário atual e quais ações devem ser consideradas como prioritárias. Pode-se considerar como parte destes investimentos ações como treinamentos de conscientização ou ações que tragam melhorias para os controles de Segurança da Informação, que se bem estruturadas, podem ser executadas por meio da mão de obra interna, gerando resultados significativos e dispensando grandes investimentos.
Mesmo assim, é comum ver empresas realizando grandes investimentos em ferramentas de alto valor aquisitivo, sem ter o devido preparo ou estrutura, ou o cenário oposto, ao investir pouco ou quase nada em Segurança da Informação, deixando sua estrutura e até mesmo o futuro do seu negócio entregues a sorte.
A maturidade de Segurança da Informação engloba diversos conceitos, entre eles a realização de investimentos de forma coerente, com objetivos claros, tangíveis e que proporcionam a melhoria dos controles de Segurança da Informação. A capacidade e a resiliência devem se fazer presentes, já que muitas vezes as mudanças podem gerar impactos e mexer com a linha de conforto das pessoas, sendo indispensável para a construção e manutenção dessa “maturidade” o apoio da alta direção.
Previsões e acontecimentos
Quanto a previsões e expectativas do mercado, a seguradora Allianz fez um levantamento entre os meses de outubro e novembro de 2021 em que empresários brasileiros apontaram os ataques cibernéticos como um dos principais riscos para os negócios em 2022, sendo pelo 2º ano consecutivo nesta pesquisa o principal motivo de maior preocupação, seguido por catástrofes naturais e demais riscos como a falta de insumos na cadeia de abastecimento. Já a pandemia da COVID-19 que em 2021 era a terceira colocada, ficou na sexta colocação, sendo a adaptação das organizações com a crise sanitária, mesmo em meio a tantas dificuldades ainda presentes, um dos principais motivos para essa “queda” no ranking.
Quando se trata de ataques cibernéticos, o ataque do tipo ransomware é o de maior destaque, devido ao seu impacto e por se beneficiar de brechas na infraestrutura das organizações como os ataques de engenharia social, tanto que desde o ataque em escala mundial ocorrido em maio de 2017, o WannaCry, esse tipo de ataque vem crescendo de forma exponencial, atingindo toda e qualquer companhia, o que mostra a audácia e capacidade técnica dos ciberciminosos.
Segundo o relatório anual da Apura Cyber Intelligence “2021 O ano em Resumo”, o ransomware aparece como a maior ameaça de crimes cibernéticos no Brasil, sendo seguido pelo DDoS e o Phishing, principalmente levando em consideração o relatório “Ransomware na Darkweb” de julho de 2021, que levou em consideração a evolução da publicação dos ataques que ocorreram entre janeiro de 2021 e julho de 2021 em empresas brasileiras.
No mesmo relatório constam informações importantes que aconteceram em 2021, como os casos das organizações brasileiras que sofreram ataques de ransomware, a porcentagem dos principais grupos ciberterroristas que mais atacaram no Brasil, assim como, as áreas mais visadas, como as instituições governamentais, indústrias e a área da saúde, embora todas as companhias estejam sujeitas a qualquer tipo de ataque.
A grande questão é que existem dois fatores que contribuem para o crescimento desses ataques: a alta lucratividade, através dos pagamentos de resgates e claro, a facilidade com que os grupos ciberterroristas executam estes e outros tipos de ataques.
Para contextualizar e corroborar o entendimento, segundo a publicação da FortiGuard Labs sobre ameaças na América Latina e Caribe no seu relatório do quarto trimestre de 2021, através da rede de dispositivos protegida pela Fortinet, em 2021 só o Brasil sofreu mais de 88 bilhões de tentativas de ataques, perdendo somente para o México. Esse número é 950% maior do que em 2020. A definição de tentativas de ataques se dá por meio dos mecanismos de AntiMalware, Sistemas de Prevenção de Intrusão e Antibotnet.
Além desses números, o Brasil esteve envolvido em outra estatística preocupante, ao sofrer cerca de 500 bilhões de tentativas de ataques de DDoS (Distributed Denial of Service), com destaque para o ataque que ocorreu em julho de 2021, por meio de uma variante da botnet Mirai (uma ameaça dirigida a dispositivos de IoT). Nessa ação foram executados diversos ataques de DDoS, que atingiram números impressionantes em diversos momentos com picos que variaram de 1 a 1,2 Tbps de taxa de tráfego, sendo que quase 10% desse ataque foi direcionado para o Brasil, sendo considerado um dos principais alvos.
O que fazer?
As organizações podem implementar boas práticas de Segurança da Informação partindo dos 3 pilares: pessoas, processos e tecnologia.
Processos servem para que pessoas executem tarefas de maneira adequada, como documentos de Segurança da Informação, que devem ser divulgados, implementados e monitorados continuamente, para que seja medida a sua eficiência e que sejam realizadas revisões periódicas para avaliar possíveis atualizações/melhorias que atendam necessidades da empresa ou do mercado.
Para que processos sejam entendidos e executados da melhor forma, as pessoas necessitam passar por treinamentos regulares. É evidente o quanto um processo é bem executado onde as pessoas entendem a sua finalidade, importância e os impactos se esse processo não é bem executado.
Com processos entendidos e pessoas capacitadas, a tecnologia acaba sendo bem empregada e utilizada por toda a organização, gerando um ciclo em que essa tríade se completa, onde pessoas executam processos, estes que são suportados pela tecnologia.
Outros processos que promovem a melhoria contínua são as revisões periódicas (com intervalos de até 12 meses) de documentos como políticas, procedimentos e normas, execução de testes de mesa (tabletop) envolvendo as áreas da organização, simulações que podem servir para identificar a eficiência e pontos de melhoria em processos como Plano de Continuidade de Negócios, Plano de Recuperação de Desastres, Gestão de Failover, Resposta a Incidentes, etc.
Já outros processos são regulares e devem fazer parte das rotinas das equipes, como a Gestão de Patches e a Gestão de Vulnerabilidades, sendo este último sendo mais assertivo se executado primeiramente em um ambiente de homologação e assim que testadas e homologadas as correções das vulnerabilidades, iniciar o processo de aplicação destas correções de forma gradativa no ambiente de produção, iniciando pelos ativos menos críticos até os mais críticos.
Enfim, podem existir outros processos a serem considerados, mas o importante é que sempre exista a melhoria contínua do Programa de Segurança da Informação, como a utilização do ciclo PDCA.
Com um ambiente bem gerenciado, através de uma Segurança da Informação sólida e praticada em todas as camadas e operações, uma certificação em Segurança da Informação pode ser almejada para consolidar e demonstrar para o mercado que a organização contém controles e processos de Segurança da Informação bem implementados.
Considerações finais
Considerando o levantamento da seguradora Allianz já citado neste artigo, novos riscos surgiram no ranking de 2022, sendo um deles a “perda da reputação ou valor da marca”.
Fica claro que o trabalho a ser realizado é extenso e contínuo, através de melhorias e o envolvimento de todos da organização, porém quando a organização entende que a Segurança da Informação não é só um investimento, ela entende que o impacto mais significante em seus negócios é a perda da confiança de seus clientes.
Através de todo esse investimento e esforço pode-se gerar um impacto positivo perante o mercado, através da construção de uma boa reputação, sendo na visão dos seus clientes tendo na organização a confiança necessária para investir, consumir seus produtos ou até compartilhar seus dados, dependendo do segmento em que a organização atua, certos de que a organização se preocupa com os controles de Segurança da Informação.
A Segurança da Informação não deve mais ser vista como sinônimo de uma experiência negativa e sim como uma percepção de proteção.
– Leandro Zilli é Consultor GRC at [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
