O Brasil acaba de receber uma certificação importante: passou para a lista seleta de países-modelo segundo a 5ª edição do Índice Global de Cibersegurança (GCI), divulgado em setembro. Com isso, não só estamos na liderança da América Latina nesse tema, como somos o único da América do Sul a ter uma alta pontuação em maturidade de cibersegurança. O bom posicionamento, no entanto, não significa que as empresas devem baixar a guarda.
A experiência de Dênis Nesi, diretor de segurança da informação em uma grande empresa do setor de telecomunicações, mostra exatamente o contrário. De acordo com ele, uma lista de dez riscos responde por 80% dos problemas nas corporações. O trio principal, foco de atenção constante, é formado pelo vazamento de dados, indisponibilidade da infraestrutura e vulnerabilidades relacionadas às pessoas.
Para os três casos, existem estratégias de mitigação. O risco de vazamento de dados, por exemplo, envolve o mapeamento e a proteção das informações geradas. O conselho do especialista é que se tenha uma equipe dedicada à privacidade e proteção de informações. Principalmente pelas regras da Lei Geral de Proteção de Dados (LGPD), as empresas precisam focar na blindagem das informações, pois manejam dados críticos e sensíveis.
Iniciativas devem envolver equipes internas e parceiros
A mesma filosofia pode ser replicada em outras corporações. É o caso das empresas da área de saúde, que são responsáveis pelos dados de pacientes, ou de companhias de seguros, que também controlam informações importantes de seus segurados. As iniciativas de proteção devem envolver não só as equipes internas, como os parceiros, que muitas vezes são a porta de entrada de invasões criminosas.
No caso da indisponibilidade da infraestrutura, ou seja, quando os atacantes deixam as corporações sem operação, a indicação de Nesi é para a implementação de tecnologias modernas e para o controle de superfície de ataque. A “cloudificação” – ou migração das operações para a nuvem – aumentou essa superfície, o que exige o desenho de um controle mínimo de segurança em qualquer iniciativa que envolva a nuvem.
Já o risco associado a pessoas tem sido um dos grandes problemas do mercado corporativo, principalmente pela mudança no formato do trabalho, com as rotinas híbridas – presencial e remota – e uso de vários dispositivos de comunicação, a partir de qualquer lugar. A estratégia de prevenção envolve conscientização e treinamentos.
Nesi recomenda também que as corporações testem o nível de vulnerabilidade de seus colaboradores, de forma que eles sejam conscientizados dos riscos. Um exemplo são as campanhas de phishing, que criam “iscas” para avaliar a prontidão em não se cair em armadilhas digitais.
A rotina de conscientização e treinamento deve incluir eventos para troca de conhecimento, oficinas regulares para colaboradores e campanhas de simulação de phishing, uma das técnicas mais conhecidas usadas nos ciberataques. Essa mesma tecnologia adotada internamente também pode ser replicada para o atendimento corporativo dos clientes da operadora.
Cultura de cibersegurança
A cultura de cibersegurança, na avaliação do executivo, não pode ficar isolada. Em qualquer empresa, é importante que os profissionais do segmento estejam alinhados às demais áreas de negócios. Em uma empresa de telecomunicações, isso significa que um novo serviço precisa ser lançado com todos os recursos que protejam o usuário final, seja ele corporativo ou não.
A mesma filosofia vale para os bancos, que precisam entregar novos aplicativos ágeis, porém seguros. Ou ainda melhor: as empresas de telecomunicações, por manejarem grande quantidade de dados, podem atuar como validadoras de operações financeiras. Um exemplo é a confirmação silenciosa de operações de compra com cartão de crédito, a partir do cruzamento de dados detidos pelas operadoras. É claro que esse tipo de operação preserva as informações do usuário e segue as regras da Lei Geral de Proteção de Dados (LGPD).
Nesi acredita que o sucesso de novos serviços e produtos – com recursos de cibersegurança acontece quando os profissionais de cibersegurança são envolvidos desde o começo do planejamento de um novo produto.
Mecanismos como um simples fator de dupla autenticação, usando informações georreferenciadas, pode ser “silencioso” e rápido, não interferindo na experiência do usuário, mas garantindo a segurança cibernética.
Ao se integrar às áreas de negócios, a equipe de cibersegurança não só orienta, mas também passa a ser treinada e pode identificar vulnerabilidades e indicar formas de controle para produtos e serviços futuros.
Da mesma forma que acontece em atividades críticas como as financeiras, a área de telecomunicações também precisa passar a credibilidade de ser segura para seus usuários. Uma política consistente de cibersegurança, nesse sentido, precisa do alinhamento e do apoio do board.
“O processo deve envolver reuniões regulares justamente para avaliar os maiores riscos de cibersegurança e definir estratégias macro que vão ditar o dia a dia da empresa e a replicação do conhecimento para seus clientes corporativos”, finaliza Nesi.
