Foco em gestão de riscos: uma mudança de paradigma no mercado nacional

O primeiro poço de petróleo foi descoberto no século XIX, nos Estados Unidos. Desde então, houve uma revolução no modo de vida de todos os habitantes do mundo, com o composto sendo uma das principais fontes de energia do planeta. Passados quase dois séculos de sua descoberta, o petróleo já não tem mais a mesma força de mercado, com fontes de energia renováveis focadas no meio ambiente. Porém, a analogia atual da força do petróleo de outrora é traçada com os dados – como disse Clive Humby, matemático britânico, “dados são o novo petróleo”.

Assim como o composto precisa ser refinado, os dados devem ser analisados, compreendidos e aplicados, por meio de Business Intelligence (BI), por exemplo. E garantir a segurança deles é essencial para qualquer tipo de organização. Nenhuma petrolífera deixa seus portões abertos para o acesso de qualquer pessoa – da mesma forma, nenhuma empresa deveria deixar seus dados expostos a riscos. Essa analogia, por mais simples e didática que pareça, ainda não foi completamente internalizada pelo mercado nacional.

Segundo diversos estudos, há anos ostentamos o primeiro lugar no ranking de países da América Latina e Caribe que mais sofrem com ataques cibernéticos. De acordo com pesquisa da União Internacional de Telecomunicações (ITU, na sigla em inglês), da ONU, o Brasil foi o segundo país da região com mais perdas financeiras motivadas por ataques cibernéticos entre 2017 e 2018, o que representa um prejuízo de cerca de US$ 20 bilhões, mais de R$ 80 bilhões. Ou seja, o país gastou 1,3% do seu Prouduto Interno Bruto 2018 (PIB) para lidar com ataques cibernéticos.

Isso se deve ao fato de que grande parte da percepção do mercado brasileiro sobre a gestão de segurança ainda é voltada totalmente à área de TI, quando deveria estar direcionada à área de negócios, ao coração das empresas. O aumento da maturidade do mercado passa pela compreensão de que não se tratam de despesas relacionadas à gestão de riscos, mas sim de investimentos necessários com retorno financeiro.

Aliado a isso, noto ainda um foco muito grande das empresas brasileiras sobre prevenção e proteção de dados, quando deveríamos estar 100% focados na mitigação dos ciberataques e em respostas rápidas. Se a sua empresa não possui um playbook de resposta a incidentes, é hora de traçar o seu planejamento. Como em um caso de gerenciamento de crise, é necessário que a sua empresa estabeleça um protocolo a ser seguido em caso de um ataque.

Ampliando o nível de maturidade local
Não há proteção invencível, pois todos os dias surgem novas formas de ataques. Grupos de ciberatacantes têm novas ferramentas e criam novas, modernas e sofisticadas ações a todo momento. Este é o primeiro ponto que devemos ter em mente. Nenhuma empresa está segura, então é preciso traçar um planejamento completo e conhecer possíveis brechas de sua organização. As companhias devem prover visibilidade para uma equipe de um SOC (Security Operations Center), NOC (Network Operation Center) ou de Repostas a Incidentes.

Essa visibilidade não está ligada à aquisição de diversas tecnologias por altos preços. Longe disso. Há ferramentas que executam esse trabalho de forma unificada, como o nosso appliance BDS (Breach Detection System). O mais importante é que, em um único produto e de forma muito simples, empresas consigam mapear, controlar e detectar possíveis comportamentos anômalos em seus sistemas. Por exemplo: se consta no sistema que o seu diretor financeiro, em um determinado dia, baixou e enviou para fora da companhia uma quantidade de dados muito acima do normal, é necessário analisar o caso separadamente.

A própria LGPD (Lei Geral de Proteção de Dados), que entrará em vigor em menos de um ano, está muito mais ligada ao mapeamento dos processos internos que à proteção e prevenção. Aplicar tecnologia e investir em proteção e prevenção não é errado, mas não deve ser o ponto de discussão atual. Com a capacidade cada dia maior dos ciberatacantes, devemos focar em uma gestão de riscos completa, mapeando brechas e vulnerabilidades; detectando comportamentos atípicos rapidamente; desenvolvendo relatórios de ações funcionais; e desenvolvendo um playbook completo de respostas a possíveis incidentes. Desta forma, as perdas serão mitigadas.

*Por Leandro Roosevelt, diretor de vendas da Hillstone Networks