O mundo da segurança cibernética está evoluindo, e as novas tecnologias estão ajudando indiretamente os hackers a encontrar brechas na segurança de dados. Um exemplo recente da crescente escala desses crimes foi o ataque de ransomware conhecido como WannaCry. Vale lembrar que já existe o alerta de novos ataques em massa para 2019 nos ambientes de IoT (Internet das Coisas) e de Automação Industrial. É importante manter atenção constante, pois são espaços altamente vulneráveis e que precisam de soluções de Cyber Defense.
Também é fundamental que os colaboradores das organizações entendam que as informações corporativas não são de propriedade pessoal. Dessa forma, sempre haverá responsabilização legal nos casos de incidentes. Além disso, é importante comunicar de forma clara, objetiva e recorrente sobre os riscos de vazamento. Cada um dos colaboradores precisa ser orientado para diferenciar informações sensíveis daquelas sem necessidade de proteção, obedecendo às regras da empresa.
É recomendável que se obtenha uma blindagem robusta com criptografia, que tenha resposta técnica e de maior eficiência na proteção de dados sensíveis. Politica de Segurança precisa ser implementada, institucionalizada, treinada e acordada formalmente por todos, por meio de um Programa de Integridade, de Compliance. As empresas também necessitam da assinatura de NDA, um termo individual de sigilo com cada colaborador, em que ele tome conhecimento do Código de Ética e das Normas Internas sobre o uso de ativos virtuais e de informações confidenciais.
Reforço que Segurança da Informação não é responsabilidade somente do departamento de tecnologia, mas deve fazer parte da agenda da alta gestão, que será responsabilizada legalmente pela ineficiência dos controles existentes, caso haja algum incidente. O papel da TI é automatizar os processos existentes definidos pela política interna e garantir a eficiência do cumprimento das regras estabelecidas.
Existem muitas maneiras pelas quais as organizações podem proteger seus negócios contra ataques cibernéticos, começando pela forte atuação em “Pessoas, Processos e Tecnologia“. O maior desafio que enfrentarão será desenvolver a “cultura”, que deve começar pela liderança. Nesse sentido, as organizações precisam definir regras simples, claras, objetivas e assertivas para que não engessem o negócio e tenham condições de conscientizar, treinar, testar, responsabilizar, monitorar e aplicar penalidades/sanções quando necessário.
As regulamentações para Privacidade de Dados estão no mercado global e daqui para frente serão mais rígidas em função da fragilidade do mercado quando o tema é proteção de dados. Quanto antes iniciarmos essas práticas dentro de nossas organizações menos sofrerão culturalmente e menos terão que investir, aumentando a credibilidade junto ao mercado, além de reputação e aderência às boas práticas.
Precisamos estar preparados de forma preditiva, utilizando ferramentas de segurança e os aprimoramentos de privacidade necessários para proteger os ativos mais valiosos.
Por fim, a avaliação de risco permite que se tenha uma noção sobre ameaças que podem se concretizar. Com base nisso, a empresa pode estabelecer diferentes tipos de controle para cada tipo de dado, criando medidas que estejam alinhadas aos requisitos que garantem a devida proteção.
(*) Longinus Timochenco é Diretor de Cyber Defense da Stefanini Rafael na América Latina.