2021: o que esperar deste ano em cibersegurança?

O ano de 2020, sem nenhuma dúvida, será lembrado por muito tempo, como um ano em que a avaliação e gestão de riscos foi colocada à prova. Lembro que no relatório de riscos de 2019 do Fórum Econômico Mundial, a ameaça de uma pandemia havia sido identificada como um risco de probabilidade abaixo da média, porém com grande impacto. Toda a sociedade foi testada em sua capacidade de resistir e conter o avanço da COVID-19. De um dia para outro, o nível de preocupação com segurança amadureceu no mundo todo. Passamos a avaliar matrizes de probabilidade de risco contra o possível impacto e gráficos de aumentos de ameaças contra a capacidade de resposta.

Leia também: Proteção de dados é valor de negócio, não custo, defendem especialistas

Bend the curve: “precisamos achatar a curva”, provavelmente, foi a expressão mais ouvida e escrita nos noticiários. E todos no mundo entenderam que o avanço desta ameaça precisava ser enfrentado com um conjunto de medidas e muita colaboração. Hospitais de campanha foram criados, campanhas de conscientização, vacinas foram desenvolvidas, medicamentos testados e por aí foi.

Este cenário poderia muito bem descrever o dia a dia de um Chief Security Officer (CSO) em qualquer empresa do mundo, onde ele se vê diante de uma ameaça com crescimento exponencial e conta com recursos finitos para as identificar, proteger os ativos do negócio, detectar ataques em andamento, resistir a ataques e, eventualmente, recuperar a saúde digital da empresa. Hoje, acredito que é muito mais fácil para um CSO explicar para o board, para o CEO e mesmo em casa, o que é seu trabalho.

Acredito então que começamos o ano com um ecossistema de cibersegurança mais maduro e mais aceito dentro das organizações. A crise que vivemos em 2020 não apenas acelerou o processo de transformação digital do mundo, mas também evidenciou que a gestão de riscos é uma tarefa fundamental para o mundo e, portanto, para as empresas.

Este é o primeiro de sete pontos que gostaria de dividir com vocês nesta reflexão, pois penso que o ano de 2021 se inicia com algumas consequências da crise de 2020 para a cibersegurança. Minha expectativa é de que vamos enfrentar mais um ano bastante desafiador. Acredito que vamos ter ainda mais ameaças e riscos cibernéticos se consolidando como uma consequência natural do processo de digitalização acelerado vivido em 2020. Tenho refletido especialmente sobre estes pontos que gostaria de propor para reflexão:

1. O trabalho remoto demanda mais sofisticação no quesito segurança da informação

Em todas as posições elegíveis ao trabalho remoto, esse modelo de operação agora é uma realidade e não mais uma simples opção ou tendência. Diante desse novo cenário, é natural que os atacantes naturalmente migrem suas atenções a essa nova porta de entrada: o home office. Isso vai exigir que as companhias reforcem os seus investimentos em ações, processos e tecnologias que garantam a prevenção de vazamento de dados e evitem fraudes. Além disso, com a perda de perímetro, cresce também a importância da gestão de identidade e acessos. Afinal, torna-se fundamental entender quem está acessando o quê, por qual motivo, de onde, de que maneira e com qual nível de segurança. Acredito que boa parte das empresas, neste momento, implantou mecanismos básicos de segurança para possibilitar o trabalho remoto, porém entendo que em 2021 este tema terá que ser amadurecido, inclusive para que o trabalho remoto se consolide em todos os cantos do planeta.

2. Mais transações digitais atraentes para cibercriminosos

Em 2020, houve um boom no ambiente digital com alto volume de pedidos de comida, compra de diferentes bens, transações bancárias, envios e recebimentos de documentos… Muito do que fazíamos presencialmente teve a internet como facilitadora. Com o volume de transações digitais aumentando, a superfície de risco digital que já era bastante atraente para os criminosos se tornou ainda mais atrativa. As plataformas de e-commerce, meios de pagamento digital e outras empresas “.com” cresceram brutalmente. Neste ponto temos duas importantes reflexões: a primeira diz respeito à escolha destas plataformas digitais por parte das empresas. Muitas empresas que não tinham uma estratégia digital bem definida optaram por entregar rapidamente seu destino digital para plataformas de e-commerce e demais empresas de negócios digitais em plataforma. Ocorre que, com esta decisão, parte da responsabilidade de gestão de riscos cibernéticos também foi delegada a estes provedores e, na maior parte dos casos, sem a devida análise. O segundo ponto de reflexão aqui é que, dado o crescimento que estas plataformas tiveram em 2020, elas se tornaram grandes concentradores do “poder digital”. Portanto, sua atratividade como alvos potenciais aumentou na mesma proporção. Será que seu investimento e amadurecimento em cibersegurança também aumentou nesta proporção? Os ataques através da cadeia de suprimentos vêm aumentando e seu impacto é gigantesco. Estamos vivendo ainda as consequências do caso “Solarwinds” com milhares de empresas comprometidas no mundo. O mesmo poderia acontecer com plataformas de e-commerce, por exemplo.

Leia também: Cresce a busca pelo Data Protection Officer. Saiba como se tornar um

3. Não negligencie normas como LGPD e GDPR

Em 2020, publicamos a LGPD em consonância com o movimento mundial de respeito e proteção à privacidade dos dados. No ano da pandemia, muitas empresas olharam para o assunto, mas não o transformaram em ações concretas. Esse é um dos assuntos que creio que voltará com força em 2021. Por exemplo, as empresas preocupadas com relação à saúde física e mental dos colaboradores coletaram informações de saúde destes profissionais e até compartilharam com terceiros, seja para fins de uso dos serviços dos planos de saúde ou alguma outra ação relacionada ao melhoramento do bem-estar da equipe. Aí vem uma preocupação: se por um lado é fundamental que as empresas tenham um posicionamento forte com relação à saúde física e mental do time; por outro lado a ação de compartilhar dados pessoais e sensíveis dessas pessoas precisam estar perfeitamente alinhadas às normas de proteção de dados e privacidade dessas informações, como a GDPR (General Data Protection Regulation) e LGPD (Lei Geral de Proteção de Dados). Quantas outras atividades que envolvem dados não foram devidamente mapeadas e registradas na matriz de risco de privacidade e tratadas no programa de privacidade da empresa? Vazamento de dados e fraudes é apontado como um dos riscos mundiais de maior probabilidade e impacto em todos os relatórios de gestão de risco aos quais tive acesso.

4. A estratégia cloud-first dá lugar à cloud-only

Quando o assunto é tecnologia, 2020 foi o ano da nuvem. Em um passado recente, na conversa com empresas modernas, falava-se de estratégias de cloud-first, ou seja, todo projeto deveria ser desenvolvido preferencialmente na nuvem. Hoje, adotou-se o conceito de estratégia de cloud-only. Na prática, os projetos só saem do papel se forem nativos da nuvem. Dessa forma, o volume de adoção à nuvem, que já vinha sendo muito grande, alcançou um volume brutal. A tendência é que, em 2021, esse consumo continue em elevação. Minha recomendação é que haja critério na escolha de um provedor de nuvem que seja economicamente interessante, ofereça boa disponibilidade, garanta fácil utilização, agilidade, mas que também esteja revestido de segurança. Não acredite em mágica ou ofertas do estilo “uma roupa para todos os tamanhos”. A disciplina de segurança é muito mais complexa do que o nível atualmente endereçado pelos provedores de nuvem. Tanto é assim que todos os contratos de nuvem colocam claramente que a segurança da nuvem é de responsabilidade do provedor, mas que a segurança na nuvem é de responsabilidade do contratante (você). Igualmente vemos nas manchetes e estatísticas de segurança que, apesar da rápida adoção da nuvem, esta segue sendo um dos principais pontos de vazamento de dados do mundo. Aos que já estão na nuvem, sugiro amadurecer seu ponto de vista sobre segurança, aos que ainda estão migrando, sugiro dedicarem-se a fazer uma jornada segura para a nuvem.

5. Infraestruturas críticas merecem atenção especial

Infraestruturas críticas são aquelas necessárias para que uma cidade, um estado ou um país funcione bem, como plantas de energia, sistema financeiro, sistemas de hospitais, corpo de bombeiros, saneamento básico e outros. Existe uma tendência grande de que, em 2021, elas continuem sendo alvo de poderosos ataques cibernéticos. Não tanto pela crise do COVID-19, mas pela escalada de atritos entre nações e polarização ideológica. Como reúnem informações importantes, sensíveis e serviços essenciais, acabam sendo o alvo preferido dos criminosos para ataques patrocinados por países.

6. Colaboração é sinônimo de crescimento, mas também de risco

Se por um lado as empresas precisam crescer, inovar e colaborar para prosperarem, por outro não podemos fazer isso sem a devida preocupação com segurança. Segurança é um grande aliado para o crescimento da empresa, pois pavimenta o caminho para que as relações entre empresas e com seus consumidores seja sólida, revestida de confiança e com capacidade de durar. Hoje, consumimos serviços e tecnologias de terceiros, além, claro, de compartilhar dados com empresas terceiras para que possamos todos evoluir e prosperar. Ocorre que a segurança da sua empresa é tão boa quanto a segurança do seu elo mais fraco. Ou seja, este elo pode ser um terceiro que não tenha a devida preocupação com segurança da informação. Tal é a preocupação que em todos os manuais de melhores práticas, legislações e normativas este item está lá presente. Colaborar também significa gerir a segurança em conjunto com o seu ecossistema.

Mais do que nunca, é hora de entender a segurança da informação como parte da estratégia do negócio, levando o debate e consciência do apetite de risco da empresa ao CEO e conselheiros. Somente com essa transparência de informações, intenção de evolução e união de esforços as companhias serão capazes de se tornar mais eficientes no combate ao cibercrime e prosperar neste ano de 2021 que já chega bem mais digital do que jamais imaginamos.

*Rafael Sampaio é country manager da Etek NovaRed