Por Caetano Notari
Nos últimos anos, notamos uma evidente aceleração na digitalização e automação dos processos das empresas.
Nesse contexto, foi preciso investir não apenas em tecnologias de ponta, mas também em treinamentos relacionados à segurança da informação, uma vez que os colaboradores passaram a trabalhar remotamente – em decorrência da pandemia de Covid-19, e a LGPD (Lei Geral de Proteção de Dados) entrou em vigor no Brasil.
Além disso, acompanhamos recentemente que as grandes corporações brasileiras tornaram-se alvos de ataques de cibercriminosos.
De acordo com um levantamento da Check Point Software, o número médio de ataques em geral por semana no mundo às organizações cresceu 40% em 2021 se comparado ao ano de 2020.
No Brasil, o aumento foi ainda mais significativo, com uma média semanal de 967 ataques e crescimento de 62%. Com todas essas questões em pauta, somado ao primeiro ciclo de monitoramento da LGPD que terá início a partir de janeiro de 2022, o investimento em cibersegurança tornou-se pauta prioritária na agenda das companhias para o próximo ano. Então, como se preparar e se proteger?
Primeiramente, é importante ressaltar que não é possível estar aderente a LGPD sem investir em cibersegurança, uma vez que o risco de privacidade está diretamente associado ao risco cibernético.
Desta forma, não existe uma gestão correta de privacidade sem um gerenciamento eficiente de risco cibernético. Para as empresas olharem de maneira séria para a gestão de privacidade, é fundamental começar pela gestão cibernética. Mas, como?
A resposta está na análise de uma estratégia de privacidade de dados, ou seja, entender quais dados são necessários proteger, tendo em mente que as informações sensíveis são aquelas que precisam ser resguardadas com maior segurança.
Além disso, é necessário obter uma atribuição clara de papéis e responsabilidades, ou seja, quem terá acessos a esses dados para então criar uma política de privacidade e proteção de dados, além de um plano de treinamento para geração de conscientização por parte dos colaboradores.
Como ocorre um cibercrime dentro das empresas?
O cibercrime não é realizado por organizações amadoras, e sim, criminosos com grande financiamento, uma vez que um “ransomware”, poderá render milhões de dólares.
Os cibercriminosos costumam definir uma estratégia ao invadir um sistema, onde, geralmente, ou irão criptografar todos os dados para exigir um resgate, ou roubarão os dados para vender no mercado.
Ou seja, eles entram no sistema e fazem uma abordagem organizada, começando por movimentos laterais para então extrair os dados.
Mas afinal, a nuvem é segura?
A nuvem pública vem sendo muito utilizada pelas micro e pequenas empresas, e aderi-la pode ser uma solução mais segura, flexível e econômica para as companhias que se preocupam com a segurança e proteção de dados. Ao optarem pela nuvem pública, as organizações conseguem garantir uma infraestrutura segura, com uma equipe de cibersegurança dedicada a apoiá-los.
Neste caso, a principal preocupação por parte das companhias está relacionada aos arquivos que serão armazenados na nuvem. A infraestrutura é segura, no entanto, os cibercriminosos estão sempre buscando novas maneiras de burlar este sistema.
A nuvem, além de reduzir o que chamamos de vetores de ataque, minimiza, ainda, a maneira como a informação pode vazar. Atualmente, já existem plataformas que fazem o monitoramento e a mitigação de “ataques de força bruta” em tempo real.
Nestes casos, quando ocorre um ataque, todos têm uma responsabilidade compartilhada (operador/empresa), e o que precisa ser feito é um alinhamento de matriz de risco e responsabilidade.
Profissionais especializados em segurança
Com a cibersegurança em pauta, a contratação de um DPO, ou seja, de um Data Protection Officer, tornou-se mandatória.
Este novo perfil profissional é responsável por tudo o que diz respeito à proteção dos dados dentro das companhias, uma vez que ainda há falha de comunicação, especialmente nas pequenas e médias empresas.
É importante enfatizar que somente o uso da estrutura fornecida pela nuvem não garante segurança para toda a empresa, por isso, é essencial ir além ao investimento em medidas protetivas, isto inclui, contar com parceiros que sejam especializados, especialmente em gestão de ambiente em nuvem e cibersegurança. Mais do que um diferencial de mercado, garantir a segurança dos dados do seu cliente pode ser a chave para o sucesso do seu negócio.