Para auxiliar a sua empresa nessa jornada, a Grant Thornton analisou, com base em discussões com os clientes, os três principais mitos da segurança cibernética a serem esclarecidos para ajudar nas decisões futuras no seu negócio. Confira:
Mito 1: Ao contrário de outros setores, as empresas de tecnologia garantem 100% de segurança digital
As empresas de tecnologia estão enfrentando uma pressão contínua para inovar. Além disso, seus clientes exigem que as informações e os serviços sejam dinâmicos e estejam disponíveis sob demanda, a partir de uma variedade cada vez maior de pontos de acesso. Nestas condições, as empresas de tecnologia simplesmente não conseguem, ainda, garantir 100% de segurança.
Nesse aspecto, é importante considerar que as companhias tecnológicas enfrentam desafios adicionais que aumentam o risco cibernético. Como, por exemplo:
- Elas têm acesso a grandes quantidades de dados de várias fontes, tornando-as alvos atraentes para maus feitores que tentam roubar informações;
- Os requisitos comerciais de tais organizações exigem o fornecimento de vastos dados valiosos, sendo necessárias alianças com terceiros para abordar as operações de back-office e prestação de serviços;
- Cada vez mais, as empresas de tecnologia estão operando em um ambiente de nuvem terceirizado;
- As empresas de tecnologia geralmente atendem clientes em setores fora de seu próprio setor e cada setor tem seus próprios riscos cibernéticos (por exemplo, serviços financeiros, saúde e setor público).
Historicamente, as organizações têm se concentrado em proteger o perímetro e fortalecer os sistemas internos. No entanto, nos últimos anos, a sofisticação dos ataques cibernéticos envolveu técnicas que contornam estruturas de controle tradicionais. Assim, as empresas precisam mudar sua mentalidade de construir uma defesa impenetrável para desenvolver resiliência a ataques inovadores.
Além disso, as organizações devem não apenas registrar os protocolos com os quais responderão aos incidentes de dados, mas também devem praticar esses protocolos regularmente – incorporando uma equipe multidisciplinar para proporcionar uma resposta completa incluindo: jurídico, TI, financeiro, RH, gestão de crises, RP e equipes de comunicação e de relações com investidores.
Mito 2: A administração das empresas possui conhecimento completo dos riscos cibernéticos através de seus departamentos de TI
Fazer negócios da forma tradicional é coisa do passado. Os administradores precisam estar sintonizados a essa realidade e envolvidos apropriadamente. Diversas estratégias cibernéticas clássicas estão ficando obsoletas, como: delegar a segurança cibernética ao TI, confiar na segurança voltada ao fornecedor ou confundir os conceitos de conformidade e segurança.
Essas práticas expõem as empresas a incidentes mais frequentes, a maiores perdas operacionais, a custos mais elevados e a danos graves à reputação. Sendo assim, os administradores precisam reavaliar o papel que podem desempenhar para ajudar a posicionar suas organizações a operarem em um mundo cada vez mais digital.
Mas como a empresa pode se tornar resiliente aos riscos cibernéticos? Somente estabelecendo uma estrutura de governança adequada derivada de políticas de proteção de dados claras por escrito, protocolos de resposta a incidentes praticados regularmente e uma abordagem multidisciplinar.
Outro aspecto a considerar é o treinamento de profissionais no contexto dessa estrutura de governança e o exercício dos principais controles dentro dessa estrutura regularmente. Para conseguir isso, as organizações e seus conselhos precisam considerar investimentos em especialização profunda – de consultoria e gerenciamento de crise a relações públicas e considerações de seguro. Esta área tem nuances demais para ser tratada como apenas uma questão tecnológica.
Mito 3: Se não houve perda de dados, não houve dano
Os ataques cibernéticos não estão mais exclusivamente voltados à extração de dados. O comprometimento de sistemas pode resultar em numerosos danos substanciais para a organização, mesmo que nenhum dado sigiloso deixe o ambiente tecnológico da organização.
Para ilustrar isso, considere que os ataques de ransomware não são necessariamente projetados para roubar dados; eles podem simplesmente tornar os dados inacessíveis. Da mesma forma, um vetor de ataque cada vez mais comum converte o poder de processamento de uma máquina comprometida para outros propósitos (por exemplo, mineração de criptomoeda).
Ataques deste tipo não transferem - nem sequer tocam - dados organizacionais, eles apenas sequestram os recursos, muitas vezes caros, de uma organização.
Então, como proteger dados na internet e oferecer segurança aos clientes?
A Grant Thornton destaca dois fatores ao conversar com os clientes: comunicação e criminalística.
• Comunicação: Ter um plano de comunicação escrito é fundamental para complementar um plano de ação estabelecido e praticado, apoiado por uma equipe multidisciplinar. Simplesmente não é possível projetar um plano de comunicação eficaz quando os participantes estão no meio de uma crise.
Os protocolos precisam ser registrados, memorizados e praticados com regularidade, o que permitirá uma resposta organizacional mais direcionada e unificada. Algumas considerações para um plano de comunicação bem elaborado incluem:
1) comunicação às autoridades policiais;
2) comunicação ao ministério público estadual;
3) comunicação à imprensa; e
4) comunicação aos clientes e outras partes interessadas para quem um requisito de divulgação legal é devido.
• Criminalística: Equilibrar os esforços de recuperação (isto é, conter a ameaça e restaurar as operações normais em seus sistemas) com a análise forense é essencial. Por exemplo, sempre haverá uma pressão intensa para restaurar as operações do sistema o mais rápido possível, mas é necessário que essa pressão não deixe de levar em conta considerações forenses (como a necessidade de preservar os principais artefatos e outras evidências que podem ser necessárias para responder questões importantes e apontar futuros problemas com litígios).
Adote uma análise de consultoria forense nos negócios
Em um sentido muito real, as organizações devem chegar à conclusão de terem sido vítimas de uma “violação” após uma investigação adequada, completa e defensável das evidências disponíveis. Idealmente, essas etapas analíticas – assim como quaisquer conclusões relacionadas – são obtidas por meio de um processo consolidado de resposta a incidentes, dirigido por um advogado e incluindo funções organizacionais essenciais operando como um grupo unificado.
Conte com a equipe de profissionais da Grant Thornton para fazer uma análise da segurança digital e dos riscos cibernéticos da sua empresa, além de auxiliar no compliance das mais atualizadas legislações de proteção e segurança de dados. Entre em contato.