*Por Ricardo Salvatore
A segurança cibernética tem evoluído bastante no Brasil ao longo dos últimos anos, e a entrada em vigor da Lei 13.709 – Lei Geral de Proteção de Dados Pessoais (LGPD), após alguns adiamentos, colocou a segurança cibernética em pauta para empresas que têm grandes bases de dados pessoais. Mesmo empresas pequenas e médias passaram a ter alguma preocupação com o assunto afinal, hoje todos têm dados armazenados em algum meio digital e conectados ao espaço cibernético.
Entretanto, no Brasil, a cultura não é da prevenção. Somos mais focados em reagir aos incidentes do que em preveni-los, e essa cultura precisa mudar, tanto no cenário público, quanto no privado.
No Brasil, especificamente no âmbito público, em 6 de fevereiro de 2020, através do Decreto no. 10.222/2020, surgiu a Estratégia Brasileira de Segurança Cibernética (E-Ciber), que é um começo da retomada das iniciativas anteriores na área de cibersegurança, com menção expressa à Política Nacional de Segurança da Informação. Une-se a ela a recente LGPD, mas ambas ainda precisam ser desdobradas em diretrizes e ações práticas.
O setor exemplo de avanço em segurança cibernética em nosso país é o financeiro. Isso é reforçado pela migração dos bancos, há anos, para tecnologias digitais e pelo entendimento de todos, sejam executivos, clientes e a população em geral, de que informações financeiras precisam de proteção por serem altamente estratégicas. É também uma área altamente regulada: desde 2018 está em vigor a circular 3.909 do BACEN, que impõe políticas e requisitos de segurança cibernética às instituições autorizadas a funcionar pelo Banco Central, resultando em maior maturidade na análise dos riscos tecnológicos dos negócios.
Em nível mundial, um exemplo em segurança cibernética é Israel, que apresenta em sua estratégia em um tripé: robustez cibernética agregada; resiliência cibernética sistêmica; e defesa cibernética nacional. O país estabeleceu uma visão de ser uma nação líder no aproveitamento do ciberespaço como um motor de crescimento econômico, bem-estar social e segurança nacional. Além disso, apenas em 2018, os investimentos israelenses em cibersegurança ultrapassaram US$ 1 bilhão.
Começamos a implantação de uma cultura de prevenção a ataques cibernéticos de forma simultânea top-down e bottom-up, em nosso ambiente. Formamos um Comitê exclusivo para tratar os assuntos de Segurança da Informação composto por diretores e gerentes e, simultaneamente, implementamos um programa de conscientização de toda a força de trabalho.
Nosso foco inicial foram as informações sensíveis do nosso processo de negócio, que é o Procurement. Ao longo dos anos, criamos seis indicadores que se desdobram em ações técnicas e administrativas que contribuem para medir e aumentar a segurança da informação como um todo na operação do nosso portal, e esses indicadores são acompanhados mensalmente pelo Comitê de Segurança. A partir do ano 2020, incluímos as informações pessoais no escopo devido à LGPD.
Na parte técnica, além de introduzirmos um processo de desenvolvimento seguro com testes automatizados voltados para a segurança das aplicações junto aos nossos parceiros, implantamos novas ferramentas de proteção baseadas em nuvem. Tudo isso em paralelo com simulações de ataques e treinamentos em cibersegurança, dos quais tiramos métricas de risco individualizadas e de grupos de colaboradores, que mais uma vez são levadas ao Comitê de Segurança e utilizadas para tomadas de medidas de reforço pontuais.
Para a reputação de uma empresa, principalmente se tem seu negócio baseado em tecnologia digital, como um portal, a divulgação de um ataque cibernético é devastadora. A relação de confiança com clientes e parceiros fica comprometida, e se a empresa tem divulgadas as vulnerabilidades, imediatamente se torna um alvo dos agentes maliciosos existentes no mundo cibernético, assimilando um elevado risco para seu negócio digital.
Por outro lado, esconder uma vulnerabilidade tecnológica pode gerar uma falsa imagem de segurança, o que não é saudável para a transparência necessária em uma relação de confiança entre parceiros de negócio. Ou seja: para a reputação de uma empresa, além da indicação de poucas vulnerabilidades, é fundamental corrigi-las rapidamente.
Cinco principais vulnerabilidades cibernéticas e como preveni-las:
1) Vulnerabilidades introduzidas no desenvolvimento e manutenção das aplicações: Previna essa vulnerabilidade implantando um processo seguro de desenvolvimento e manutenção das aplicações de sua empresa com testes de segurança automatizados;
2) Falhas de segurança na cadeia de fornecedores das soluções tecnológicas utilizadas: Faça levantamentos sobre a segurança dos fornecedores de tecnologia que compõem sua cadeia de suprimentos e verifique as certificações de todos eles;
3) Falta de entendimento da força de trabalho sobre a criticidade das informações: Treine seus colaboradores em relação à criticidade das informações tratadas nos processos de trabalho, indicando claramente quais devem ser os meios utilizados para o fluxo dessas informações;
4) Desconhecimento das tecnologias utilizadas na execução dos processos: Crie um programa de conscientização em cibersegurança para todos os colaboradores da empresa que dão suporte às suas aplicações, incluindo desenvolvedores, suporte e backoffice;
5) Processos excessivamente complicados e redundantes: Simplifique os processos de negócio buscando simplicidade. Isso vai permitir a redução de redundância de informações e limitar sua coleta ao mínimo necessário para a empresa.
*Ricardo Salvatore gerente de Segurança da Informação e Tecnologia da Petronect
