Na segurança cibernética, dinheiro não é tudo

Artigo MIT Sloan para Yssy

Autorias: Erik Farina e Leonardo Pujol

De todos os riscos que cercam um negócio, um, em particular, tem tirado o sono de diretores e executivos, em razão do rápido poder de destruição financeira e de reputação. É a escalada dos ataques cibernéticos, que se tornaram mais comuns e sofisticados com o correr dos anos – especialmente após a pandemia, no lastro da transformação digital acelerada. Dados do Cyber Tech Report, divulgado pela CISCO em 2021, mostram que no Brasil, entre janeiro e setembro de 2020, foram registradas mais de 3,4 bilhões de tentativas de ataque cibernético.

Enquanto quadrilhas digitais se especializaram em identificar e explorar os pontos fracos das empresas em meio a tantas mudanças tecnológicas, golpistas têm se aproveitado do descuido de funcionários para invadir sistemas e roubar informações corporativas valiosas. E eles não têm poupado esforços para enfileirar vítimas – que, nos últimos doze meses, incluem organizações como CVC, Renner, Toyota, Bridgestone, Mercado Livre, Grupo Fleury, Gafisa, Americanas e até mesmo o Centro Nacional de Pesquisa em Energia e Materiais (CNPEM), que abriga o acelerador de partículas Sirius.

“O agravante deste tipo de ataque é que, diferentemente de um assalto físico, não há barreira geográfica para o agressor. Hackers de qualquer país procuram empresas com sistemas de proteção frágeis e usam técnicas avançadas para capturar informações”, alerta Vagner de Araújo Silva, chefe de segurança da informação (CCIE) na Yssy & Co, consultoria especializada na implementação de soluções tecnológicas e serviços avançados de SI para empresas.

Apenas em 2021, os prejuízos globais decorrentes de ataques cibernéticos chegaram a US$ 6 trilhões, de acordo com um levantamento da consultoria alemã Roland Berger. O montante equivale a quase todo o produto interno bruto (PIB) de Brasil e Alemanha, juntos – cuja projeção era de US$ 6.175,9 trilhões no ano passado. O cálculo também mostra que, considerando os dados de 2020, a conta ficou salgada para quem caiu nas garras dos hackers: nos maiores países europeus, o prejuízo médio para cada empresa foi de US$ 385 mil – além do dano intangível à imagem e à estratégia corporativa.

O Brasil é um dos principais alvos: segundo o mesmo report da CISCO, estima-se que dos 41 bilhões de ataques realizados na América Latina em 2020, mais de 20% tenham ocorrido apenas no Brasil. O documento destaca que dos crimes de ransomware – ataque mais comum, em que o hacker invade o sistema da empresa, sequestra os dados (daí o “ransom”) e exige um pagamento de resgate – também estão se tornando mais frequentes ataques relativos à roubo de criptomoedas, sequestro de e-mails, spyware e phishing.

Um dos fatores que coloca o Brasil na mira dos agressores é a Lei Geral de Proteção de Dados (LGPD). Ao mesmo tempo em que estabeleceu regras claras – e muito bem-vindas – ao ambiente digital, a legislação potencializou o lucro de hackers, por conta das altas multas previstas para empresas que exponham dados dos clientes. “A partir da publicação da LGPD, os ataques aumentaram e passaram a ser mais divulgados pelos hackers, de forma a pressionar as empresas a pagarem pelo resgate das informações”, explica Josiane de Barros Silva, líder de pré-vendas e especialista em segurança cibernética da Yssy.

O Brasil também tem se tornado vítima usual em razão dos baixos investimentos em segurança cibernética. Dados do IDC mostram que o valor gasto em softwares e sistemas de proteção no país cresceu 10% no ano passado. Não é um ritmo que ajude o país a acompanhar a corrida mundial contra os hackers: a consultoria Gartner calcula que os gastos mundiais no setor tenham crescido 12,4% em 2021.

“O Brasil já faz parte de uma base tecnológica mais baixa e não investe o suficiente para reduzir este gap em relação a países mais preparados para ciberataques, como Inglaterra e Estados Unidos”, analisa Fabro Steibel, diretor-executivo do ITS-Rio. “É uma realidade que torna as empresas brasileiras presas mais fáceis para os criminosos digitais”, acrescenta ele, que também é pesquisador e professor de inovação, membro do conselho global do Fórum Econômico Mundial (WEF) e fellow da Organização dos Estados Americanos (OEA).

Agilidade e treinamento

Mas não basta investir grandes somas de dinheiro para proteger as empresas de ciberataques. Também é necessária uma cultura digital gravada no DNA das organizações. Isso impede que ferramentas de proteção sejam pouco compreendidas e, por vezes, mal implementadas – reduzindo perigosamente sua eficácia, o que coloca as companhias em situação de vulnerabilidade.

Como um time de futebol desentrosado, proteções cibernéticas mal gerenciadas ou incorporadas de maneira aleatória, pouco têm a acrescentar às empresas. “Algumas até investem em tecnologia, mas se esquecem dos processos para monitorar se elas estão sendo bem utilizadas e preenchendo as lacunas de segurança”, observa Josiane, da Yssy.

O primeiro erro está na falta de diagnóstico sobre as necessidades de segurança. É preciso ter uma equipe de tecnologia da informação (TI) treinada para analisar e identificar as possíveis portas de entrada para cibercriminosos. O report do time de TI ajudará a empresa a enxergar riscos e elaborar um plano de resiliência em caso de ataques. O levantamento também indica o perfil das tecnologias vitais ao negócio – será mais eficaz ter uma gestão de e-mails própria, no drive ou contratando um pacote? Qual é o melhor sistema de proteção de senhas de acordo com o perfil da empresa e a distribuição dos colaboradores?

Tão importante quanto administrar as ferramentas digitais é manter os colaboradores alertas, capacitados e cientes de seu papel na proteção da empresa. O relatório de investigações de violação de dados da Verizon descobriu que o fator humano estava envolvido em mais de 85% dos casos em 2021, seja por cair em um ataque de phishing, tomar decisões erradas que levam a infecções por malware ou usar senhas facilmente decifráveis.

A dica é incentivar uma cultura digital entre as equipes, com módulos de segurança incluídos na rotina de treinamentos. As pessoas precisam saber que mudanças simples de comportamento – como não anotar as senhas no drive pessoal ou reportar imediatamente às lideranças uma eventual tentativa de invasão pelo seu login de acesso – podem fazer toda a diferença. “Treinamento é tudo. Se chegar uma URL falsa no e-mail corporativo e o funcionário clicar, todos os processos e tecnologias caem por terra”, afirma Josiane.

Em processos de cibersegurança eficazes, agilidade na resposta é indispensável. Por isso, os treinamentos preparam os colaboradores não só para identificar ameaças, como para agir diante delas. A lógica é que os funcionários saibam identificar uma tentativa de ataque e a quem reportá-lo. Se houver um vazamento de dados, as equipes de TI precisarão de um método eficiente para rastrear por qual porta o golpista entrou – e fechá-la rapidamente.

“Tão importante quanto prevenir é saber identificar se uma eventual invasão ocorreu por problema de treinamento ou se houve falha na configuração dos mecanismos de proteção”, explica Josiane. “E então, agir rapidamente para evitar o pior”. Na segurança cibernética, o gerenciamento pesa mais do que o orçamento.

O Fórum Vetores estratégicos da cibersegurança é uma coprodução de MIT Sloan Review Brasil e Yssy & Co.

Se você deseja falar com um dos especialistas Yssy, entre em contato aqui.

 

Autorias

Erik Farina e Leonardo Pujol

Erik Farina e Leonardo Pujol são colaboradores da MIT Sloan Review Brasil