6 ações estratégicas para proteger sua empresa de ataques cibernéticos 

Bravo GRC

*Claudinei Elias e Suelen Silva  

Se a transformação digital nas empresas foi super acelerada pela pandemia da Covid-19, também cresceram em escala proporcional os ataques cibernéticos: um efeito colateral da economia digital. Não por acaso, a cibersegurança entrou para a agenda estratégica de sobrevivência e continuidade dos negócios.  

De acordo com o estudo “Digital Trust Insights 2022” (PwC), 83% das empresas brasileiras preveem um aumento nos gastos com cibersegurança este ano. No mundo, este percentual é de 69%. 

Para lidar com o aumento expressivo das invasões hackers, as organizações precisam de uma resposta rápida, com investimento em soluções tecnológicas, além de ações coordenadas de governança, cultura de prevenção e aperfeiçoamento de processos. 

Ao sofrer um ataque cibernético e ter seus dados vazados, as companhias enfrentam impactos tão críticos que podem ter sua existência ameaçada. Perdas financeiras e operacionais diretas, exposição de segredos do business e manchas na reputação com clientes, investidores e demais stakeholders são alguns dos problemas. 

Uma gestão eficaz desse risco exige uma estruturação dos pilares de tecnologias, processos e pessoas com ações coordenadas de prevenção. E, em tempos de economia digital, a tecnologia da informação ganha um papel central na estratégia. 

As tecnologias emergentes – como IA, RPA, Blockchain e outras – promovem ganhos exponenciais em produtividade, automação de rotinas, identificação de ameaças e vulnerabilidades e antecipação de riscos, além de viabilizarem soluções mais eficientes nos controles dos dados.  

Listamos a seguir 6 ações que podem ajudar a sua organização a estruturar uma boa base para a segurança cibernética, com respostas para as variáveis atuais mais críticas no ecossistema corporativo. 

1. Desenvolva um Programa de Segurança da Informação  

Variável crítica: vazamento de dados e cultura de compliance  

Tendo como centro a área de TI, o programa deve contar com políticas internas e externas para uso de dados, sigilo de documentos, utilização de dispositivos com diferentes níveis de permissionamento, diretrizes para o comportamento de colaboradores ao utilizar sistemas e dispositivos da organização, entre outras normas que englobem toda a cadeia produtiva. O foco é proporcionar uma governança ampla à organização, contando com o patrocínio da alta direção da empresa. 

2. Invista em plataformas tecnológicas que protejam os dados e simulem ataques de hackers 

Variável crítica: escala e velocidade  

Essas plataformas ajudam a mapear as falhas e proteger portas de entrada dos invasores de maneira mais rápida e efetiva, melhorando em escala a prevenção aos ataques. Conte com soluções tecnológicas que simulem ataques e apontem vulnerabilidades de exposição da empresa, possibilitando planos de ação para mitigar possíveis ataques e sequestros de dados. Além disso, verifique com atenção as rotinas de backup automático, medidas de prevenção à perda de dados, firewall, proteção de privacidade e outras funcionalidades. Tudo isso precisa estar em dia! 

3. Previna-se contra o vazamento de dados  

Variável crítica: Interconectividade e silos de informação  

Processos bem-estruturados relacionados à gestão de riscos e incidentes, aliados ao desenvolvimento seguro e monitoramento contínuo dos dados, são fatores-chave de sucesso na segurança cibernética. Atente-se para vulnerabilidades em códigos de sistemas, APIs sem a devida proteção e servidores Cloud mal implementados.   

4. Prepare-se para ataques que sequestram dados (Ransomware)  

Variável crítica: Infraestrutura e virtualização  

Esse tipo de ataque é realizado de maneira automatizada, de forma a acessar os sistemas da organização por meio de falhas de segurança e então encriptar os dados encontrados. Após o sucesso do ataque, os hackers solicitam pagamento de resgate dos dados. O correto gerenciamento e governança de dados e conteúdos sensíveis da organização (Data Governance), como logins e senhas de acesso a sistemas, aliado a sistemas operacionais atualizados e equipe treinada para evitar abertura de e-mails suspeitos (Pishing), são fatores de sucesso no processo contínuo da organização em evitar ataques Ransomware. Não se esqueça da redundância de sistemas. Ela promove a disponibilidade de dados e informações para situações de ataque hacker. Caso um servidor seja atacado, o redundante pode ser acionado garantindo a continuidade das operações. Entender se os dados foram ou não vazados, a extensão dos acessos e, acima de tudo, como voltar os ambientes ao uso normal e com segurança é algo que se faz com muita preparação prévia. Gestão de continuidade e de crises em conjunção com as práticas e ferramentas de Cyber são essenciais. 

5. Forneça treinamentos periódicos para os colaboradores  

Variável crítica: conexão entre ferramenta, processos e pessoas  

A coordenação entre melhores ferramentas e softwares, processos consistentes e colaboradores bem treinados para agir em momentos de estresse é fundamental para o sucesso da organização frente aos desafios cibernéticos. Nos treinamentos, além de capacitar sobre como agir durante e após um ataque cibernético, é essencial abordar métodos e táticas de prevenção. Trabalhar as áreas de forma integrada é essencial; as áreas de Desenvolvimento Humano e Segurança de Informação precisam estar conectadas. 

6. Dissemine a cultura de gestão de riscos e continuidade dos negócios  

Variável crítica: consciência do risco e gestão do modelo de trabalho  

Treinamentos constantes, diretrizes e políticas bem estabelecidas, abertura a questionamentos e novos modelos de trabalho são alguns dos fatores que reforçam a cultura de gestão de riscos e a continuidade dos negócios em uma organização. Questões como falhas internas, falta de orientação e negligências podem ser minimizadas. Assim, os planos de continuidade dos negócios podem ser construídos e atualizados frequentemente, a fim de aprimorar o tratamento de exposição a riscos, e também os que eventualmente já foram materializados em um ataque cibernético.   

Fonte: Bravo Research 

*Claudinei Elias é CEO e fundador da Bravo GRC, empresa de tecnologia e consultoria em GRC e ESG.   

*Suelen A. da Silva é Head de Research da Bravo GRC.