Com a aceleração da digitalização devido à pandemia do novo coronavírus, o mercado está ainda mais vulnerável com os ataques virtuais. Isso se deve, principalmente, à adoção em larga escala de home office e maior uso de ferramentas e serviços online, – como videoconferências, ferramentas digitais, compras online, entre outros – que oferecem novas e mais oportunidades para ataques, nos quais os criminosos têm sido rápidos em explorar.

Segundo a Axur, por exemplo, os ataques via phishing cresceram 100% no Brasil, em 2020, em relação ao ano anterior. Trata-se de maneiras de enganar os usuários a passarem informações confidenciais, como senhas e detalhes de cartão de crédito.

Outro ataque comum é ransomware. Este golpe acontece quando um hacker sequestra o acesso a arquivos e exige resgate com pagamento em bitcoin. Segundo dados divulgados pela Kaspersky, empresa especializada em segurança digital, o Brasil é o país que mais sofreu este tipo de ataque em toda a América Latina. Dos mais de 5 mil golpes diários na região, 46,6% foram no país. O ransomware pode não apenas afetar a disponibilidade de sistemas, mas também resultar no vazamento de dados confidenciais. De acordo com a companhia, o prejuízo das empresas varia na casa dos US$ 700 mil dólares, considerando pagamento de resgate e danos à imagem e reputação.

Diante deste cenário, não existe uma solução única para a segurança cibernética. Ela precisa abranger uma série de medidas e boas práticas, alinhada com os objetivos de negócios e operações de cada empresa, porém há alguns temas que podem colocar uma empresa à frente de muitas que não estão preparadas:

Um problema cultural: cyber segurança vai muito além da TI

Primeiro, é necessário ajustar a mentalidade em relação ao tema. Geralmente, a resposta ao incidente não será satisfatória se for deixada apenas para a equipe de TI. Eles têm um papel fundamental na resolução do incidente, mas as consequências vão além do dano imediato – haverá problemas de reputação, legais e operacionais.

O risco cibernético é uma questão não financeira complexa com o poder de corroer os resultados financeiros e a reputação de uma empresa. Por isso, as companhias precisam integrar medidas de segurança cibernética aos processos de negócios do dia-a-dia e nas suas principais decisões, que também envolvem alinhamento com a alta liderança.

Envolvendo executivos e conselheiros na prevenção e gerenciamento de crises

O conselho e a liderança executiva precisam se engajar em uma conversa crítica, sabendo dos riscos de segurança cibernética, seu impacto potencial e como a liderança tem abordado este tema. A responsabilidade do conselho é garantir que a equipe executiva tenha um plano e esteja preparando toda a organização para um ataque, além de se manter atualizado sobre essas questões pelo menos trimestralmente, com sessões adicionais de conscientização e educação, conforme necessário.

Melhores práticas que apoiam no fortalecimento e prevenção de ataques do tipo “Ransomware”

Fortalecer a proteção da segurança cibernética para ativos-chave: aplicar os mesmos controles de segurança cibernética a todos os ativos cria esforço e despesas extras. Ativos vitais devem ser protegidos mais fortemente do que os menos importantes.

Envolver todos os funcionários: cada colaborador tem um papel a desempenhar na proteção da empresa por meio de práticas como o compartilhamento de informações confidenciais por canais seguros, como ferramentas confiáveis para trocas de arquivos. Exercícios de segurança cibernética e outros esforços ajudarão a conscientizar sobre os riscos que podem criar e como mitigá-los.

Treinamento do quadro de funcionários com base no conceito de micro-segmentação, no qual consiste em treinar funcionários de maneira personalizada, considerando cada papel na atuação da crise.

Usar “defesas ativas”: as empresas líderes usam tecnologias avançadas para identificar sinais que podem indicar um ataque iminente, como tentativa de login e tráfego de redes de locais incomuns.

Adotar a autenticação de vários fatores: ao eliminar a possibilidade de obter acesso aos sistemas por meio do sequestro de senhas, a ameaça de ransomware pode ser reduzida drasticamente.

Filtrar conteúdo da web e e-mail: remover o conteúdo suspeito antes que ele possa ser acessado pode reduzir os riscos.

A importância das simulações:

Outra prática recomendada é o planejamento e teste das respostas a incidentes de segurança cibernética. Sabendo que ocorrerão ataques cibernéticos, as empresas devem estabelecer planos para reagir a eles e, uma vez que estejam em vigor, regularmente colocá-los à prova por meio de simulações ou “jogos de guerra”.

Essas simulações ajudam não só os executivos, mas todos os atores que têm uma função dentro do processo estarem melhor preparados para tomar decisões de alto risco sob pressão, além de obter uma compreensão mais profunda das capacidades da empresa. Por fim, os insights gerados pela simulação ajudam a refinar o manual de resposta a crises.

Qual o cenário atual das empresas mediante a prevenção?

O que mais observamos é que as empresas não estão bem preparadas. Uma pesquisa da McKinsey Cyber Solutions de resiliência digital questionou com qual frequência são realizados exercícios de simulação de resposta a ataques virtuais. Das 93 respondentes, 38% das empresas, considerando as Américas, Ásia, Europa e Oriente Médio afirmaram que não realizam este exercício; 28% indicaram ser uma prática anual e 9% por trimestre.

Já 55 grandes companhias foram questionadas sobre quanto tempo o conselho aborda o tema anualmente; 31% responderam que de 30 a 60 minutos, 18% de 60 a 120 minutos e 13% responderam que não é discutido. Os conselhos discutiriam as projeções de receita ou estratégias de crescimento apenas alguns minutos por ano? A segurança cibernética hoje é uma parte essencial da estratégia da empresa, afetando a proteção de dados, conformidade, litígios em potencial e a percepção do cliente sobre a segurança. Desta forma, deve fazer parte de todos os planos de negócio com discussões frequentes.

A questão para as companhias não é se o ataque vai acontecer e como evitá-lo. A verdadeira questão é: quando o ataque virá? A organização está preparada para detectá-lo, pará-lo assim como mitigar os efeitos e voltar às operações normais o mais rápido possível? Os trabalhos de prevenção, com o envolvimento do conselho executivo, liderança e de todos os colaboradores devem começar hoje.

*Patrick Aron Rinski é sócio associado expert em Cybersecurity e Riscos Operacionais da McKinsey em Company