Os riscos cibernéticos só podem ser neutralizados se houver uma compreensão das pessoas, das empresas e do governo sobre a importância de manter a segurança dos dados pessoais e corporativos. Ataques cibernéticos vêm atingindo países do mundo inteiro e ganhando relevância no Brasil nos últimos anos. Com o avanço da tecnologia, nossas informações ficam cada vez mais expostas a vazamento ou roubo.
Nossas organizações dispõem de infraestrutura, aplicativos e banco de dados, além do ambiente físico, temos o virtual e mobile, recursos que servem para facilitar e viabilizar o trabalho no dia a dia. Junto com esta evolução, temos, também, uma lista interminável de riscos e brechas de segurança, muitas ainda não identificadas, que podem se tornar alvo para ataques comprometendo a confidencialidade, integridade e disponibilidade de dados ou sistemas tecnológicos.
Praticamente todas as empresas trabalham com tecnologia de gerenciamento de dados pessoais e corporativos, tais como número de cartão de crédito, identidade, endereço, registros médicos, passaporte, lista de clientes, orçamento, planos de negócios, dentre outras informações. A segurança e responsábilidade pelas informações de terceiros tornaram-se uma preocupação cada vez mais constante.
Por mais seguros que achamos que sejam os sistemas de informações, os riscos multiplicam-se com efeitos graves para os nossos negócios. O gerenciamento desses riscos para proteção dessas informações não é prioridade apenas de um departamento, mas é sobre tudo responsabilidade da administração da empresa.
A rápida evolução cibernética tem ameaçado as organizações, tornando obsoleta as ferramentas e as metodologias tradicionais de segurança da informação, forçando revisarem procedimentos e politicas de curto prazo. A vulnerabilidade tornou-se uma das maiores ameaças no universo empresarial, com consequências graves e dispendiosas.
Esse problema não se resolve apenas com investimentos em grandes plataformas ou software de segurança, mesmo sendo cada vez mais robustas as soluções, ainda assim, são vulneráveis. A criminalidade está ligada a extorsão, pirataria de dados confidenciais, acessos não autorizados, negligência e erros de colaboradores e parceiros de negócios.
Ela não é praticada apenas por ataques externos, mas também internos, através da invasão e roubo de informação por parte de colaboradores. A falta de educação e treinamento de colaboradores e a negligência nas politicas de segurança das empresas são os principais fatores facilitadores de invasões. Nenhuma organização está bem segura. Os serviços financeiros, de comunicação, tecnologia, dentre outros tem sido afetados por ataques que resultaram em grandes perdas financeiras e perdas relacionadas à reputação dessas empresas.
A necessidade de proteção deve ser constante. O objetivo não é só evitar que os ataques aconteçam, mas conscientizar as empresas para que adotem as melhores práticas de governança para a resistência cibernética e assegurar os elevados prejuízos que poderão ocorrer desses ataques, protegendo os negócios da empresa. A procura por apólices de seguros não são apenas de responsabilidade civil, sendo também de cobertura tanto de
danos a terceiros quanto ao tomador do seguro.
A Lei nº 12.965/2014 considerada como Marco Civil da Internet no Brasil, também tratou desses assuntos ligados aos ataques cibernéticos. A lei tem por finalidade proteger os dados de pessoas com base no direito constitucional da privacidade. Sempre que houver uma divulgação não consentida, o responsável deve responder perante a justiça, independentemente de culpa. É crescente a importância das instituições governamentais,
autoridades reguladoras e seguradoras como um elemento crítico para neutralizar a ameaça cibernética mundial.
Para implantar um sistema de gerenciamento de riscos é necessário determinar quais os ativos precisam ser protegidos, por meio de uma análise detalhada da tecnologia, dos processos e dos recursos envolvidos na implantação e manutenção do ambiente. Não existe uma solução igual para todas as empresas, pois, elas possuem diferentes estruturas tecnológicas, com diferentes riscos potenciais. A segurança deve seguir uma abordagem por camadas, com proteção adicional para os ativos mais importantes.
É imprescindível contratar uma consultoria com profissionais especializados em contra-invasão e contra-hackeamento e, começar a análise desde o ponto de negócio, mapeando processos, para identificar as áreas de maior risco. A interpretação adequada das normas internas, das melhores práticas, regulamentos e contratos têm por objetivo deixar claro o risco e as suas consequências.
Também é necessário dispor de ferramentas para medir, em tempo real, a frequência e o perigo de ameaças emergentes para que possa instruir sua base de inteligência, a fim de obter uma avaliação precisa do risco atual. Avalie atividades de compartilhamento de informações com seus colaboradores, instituições e o governo. Os procedimentos devem estar padronizados e documentados, as responsabilidades e os processos, também, devem estar alinhados com o negócio e a estratégia de TI com treinamento e comunicação suportados por conceitos técnicos.
As informações sobre a evolução das ameaças em relação ao seu sistema de gerenciamento de riscos devem estar atualizadas e com monitoramento contínuo, para não repetir problemas conhecidos. Além de todas as precauções tecnológicas, o treinamento contínuo e a educação sobre ameaças à segurança são essenciais. Inclusive a inclusão de informações de segurança cibernética nas políticas para os colaboradores da empresa e dos parceiros de negócios, para que saibam o que é e o que não é aceitável.
Por fim, o gerenciamento, controle e mitigação de riscos é um processo contínuo, que deve ser constantemente revisado e atualizado. Avaliações periódicas devem ser realizadas para procurar novas vulnerabilidades e ameaças, para manter a posição de risco da empresa no nível desejado. Edição | LAB | 1807.