Ciesp News (09/08/2024) - Voos, TVs, bancos e hospitais de vários países relataram falhas nos seus sistemas e suspenderam suas operações no último dia 19 de julho e, embora não tenha se confirmado oficialmente, a primeira hipótese levantada por muita gente no mundo todo foi a de um ataque cibernético. Não é para menos, globalmente, houve um aumento de 30% dos ataques cibernéticos no segundo semestre de 2024 em relação ao mesmo período em 2023. Já o Brasil tem sido destaque entre os alvos de ataques virtuais, com aumento de 70% nos registros, segundo pesquisa da empresa Check Point Research.
Quando falamos mais especificamente da indústria, o tema chama ainda mais a atenção. Em 2022, o estudo "Maturidade da Indústria – LGPD e Incidentes Cibernéticos", realizado pela Fiesp e pelo Ciesp, apontava que 65% das indústrias tinham sofrido ataques cibernéticos na época e mais de 36% tinham sido efetivamente prejudicadas. O estudo, que ouviu 261 empresas do setor, foi coordenado pelo Deseg (Departamento de Defesa e Segurança) da Fiesp, acompanhado de um alerta: a maioria das empresas não estavam preparadas para lidar com ataques cibernéticos.
Segundo Rony Vainzof, diretor adjunto do Deseg, as ameaças cibernéticas representam risco contínuo e crescente para as empresas, os clientes e as nações. Ele afirma que o tema vai muito além da proteção de dados pessoais e segredos de negócios corporativos, pois os ataques cibernéticos podem literalmente travar organizações e países.
“Os incidentes e o modelo de operação dos criminosos são cada vez mais complexos, transacionais, profissionais, constantes e com potencial lesivo devastador”, explica Vainzof.
Ele lembra que a complexidade das novas tecnologias, a digitalização das empresas, a profissionalização dos criminosos e a regulação exigem o acréscimo do tema segurança cibernética como agenda obrigatória e madura em todas as organizações.
Na mesma linha, a analista da Indústria de Defesa e Segurança, Ana Flavia Cardoso, que também faz parte da equipe do Deseg, acrescenta que a segurança cibernética é o conjunto de práticas, tecnologias e processos internos projetados para proteger redes, dispositivos, programas e dados dos ataques, danos ou acessos não autorizados.
É pauta organizacional e estratégica e não apenas técnica, afirma Cardoso.
Vainzof e Cardoso falaram esta semana, com exclusividade, ao Ciesp News. De acordo com eles, não é fácil mitigar riscos cibernéticos, mas algumas medidas são essenciais para que as empresas se protejam. Confira as 10 dicas dos dois especialistas:
Dica 1 - Cultura de segurança cibernética
É fundamental que a empresa estimule a mudança de comportamentos, quando o tema é cibersegurança. Uma camada humana de proteção para mitigar eventos, centrada no ser humano e em sua experiência, ajudando os usuários a entenderem os riscos e a minimizarem condutas que possam motivar incidentes. Ou seja, é fundamental conscientizar os funcionários sobre as melhores práticas de segurança cibernética, incluindo o reconhecimento de phishing e os riscos de links ou anexos suspeitos. Diversos estudos apontam a engenharia social como um dos principais motivos dos ataques exitosos, além de credenciais comprometidas. O phishing é um tipo de ataque cibernético onde os criminosos tentam enganar usuário para que forneça informações pessoais confidenciais, como senhas, números de cartão de crédito ou dados bancários.
Dica 2 - Governança de credenciais e autenticação forte
Exija senhas complexas com alteração regulares em sua empresa, bem como a autenticação multifator (MFA) para adicionar uma camada extra de segurança.
Dica 3 - Estabeleça controles de acesso
Os funcionários devem ter acesso apenas aos dados e sistemas necessários para suas funções. Revise e ajuste regularmente as permissões de acesso.
Dica 4 - Utilize softwares lícitos e atualizá-los regularmente
Garanta que todos os sistemas operacionais, aplicativos e softwares estejam atualizados para proteger contra vulnerabilidades identificadas e conhecidas.
Dica 5 - Faça backups regulares
Faça backups regulares de dados críticos e armazene os backups com segurança. Garanta que os backups sejam testados periodicamente para verificar sua integridade e disponibilidade. Em um incidente cibernético é importante confirmar a resiliência da organização e que o backup não será afetado pelo evento.
Dica 6 - Implemente firewalls e software antivírus
Utilize firewalls robustos para proteger o perímetro da sua rede e implantar softwares antivírus para detectar e prevenir infecções por malware (softwares maliciosos criados para roubar dados ou causar danos em arquivos) são camadas fundamentais de segurança.
Dica 7 - Monitore o tráfego de rede
Use sistemas de detecção e prevenção de intrusão (IDS/IPS) para monitorar o tráfego de rede em busca de atividades incomuns ou suspeitas. Configure alertas para responder rapidamente a ameaças potenciais.
Dica 8 - Use criptografia de dados
Criptografe dados confidenciais, tanto em trânsito quanto em repouso, para protegê-los de acesso não autorizado.
Dica 9 - Gestão de terceiros
Analise a cadeia de riscos cibernéticos e resiliência na cadeia de suprimentos e terceirização, avaliando quais são os fornecedores mais críticos e como um ataque cibernético contra esses terceiros pode afetar seus negócios ou dados pessoais de seus clientes.
Dica 10 - Plano de Resposta a Incidentes Cibernéticos e Simulações
Crie e atualize regularmente um Plano de Resposta a Incidentes para reagir adequadamente a possíveis eventos. É importante que esse processo defina papéis de atuação, documentação necessária e ações relevantes para caso de resposta. Teste o Plano de Resposta a Incidentes com periodicidade, para verificar os papéis definidos, a familiaridade dos funcionários com as ações e os conhecimentos necessários em caso de incidente, para garantir que a resposta será executada com sucesso.