Segurança cibernética precisa estar na pauta da indústria
Pesquisa mostra que maioria das empresas não está preparada para lidar com ataques. Especialistas recomendam adoção de soluções baseadas em Zero Trust
A Fiesp/Ciesp divulgou em setembro os resultados do estudo “Maturidade da Indústria – LGPD e Incidentes Cibernéticos”. Realizada com 261 indústrias de São Paulo entre os meses de julho e agosto de 2022, a pesquisa mostrou que grande parte das empresas não está preparada para lidar com ataques cibernéticos.
O estudo mostrou que, do universo de empresas pesquisadas, 95 reconheceram já ter sofrido algum tipo de ataque cibernético. Pior, deste total, 36,2% dos ataques tiveram sucesso, representado em 74% dos casos por indisponibilização da operação da companhia. Além disso, em 68,4% destes casos, o ataque foi seguido de tentativas de extorsão para que os serviços da empresa voltassem ao normal. O sucesso destes ataques se deve a um dado preocupante constatado pela pesquisa: 53,3% das empresas não têm plano de resposta para incidentes e 78,9% não fazem simulações de ataques cibernéticos, prática muito importante na preparação contra este tipo de situação.
“Os problemas de segurança no setor industrial não dizem respeito somente à prevenção de ataques. Estas empresas precisam se preparar para lidar também com questões regulatórias, como a LGPD (Lei Geral de Proteção de Dados)”, lembra o CMO (Chief Marketing Officer) da Exbiz, Marcio Montagnani. Sobre o tema, a pesquisa da Fiesp constatou que o maior desafio apontado pelas indústrias é relativo ao treinamento e à conscientização dos funcionários (54%), seguido de mapeamento das atividades de tratamento de dados pessoais (51,7%).
A conscientização, aliás, é fundamental para a implementação de uma cultura de segurança. A pesquisa mostrou que a principal causa dos ataques sofridos pelas indústrias foi falha humana (141 dos casos). Outra vulnerabilidade apontada foi o uso de nuvens ou softwares de terceiros (45 respostas). Parte destas falhas ocorre porque mais da metade (54%) das empresas do setor ainda não contam com um encarregado pela segurança de dados, que seria o encarregado por definir as diretrizes e gerar as orientações necessárias.
Zero Trust
Uma das funções da área de segurança é definir o conceito a ser adotado e, com ele, as ferramentas de prevenção. Montagnani lembra que o Zero Trust tem sido adotado por empresas dos mais diversos segmentos. “Ele propõe uma mudança da estratégia de “confiar, mas verificar” para “nunca confiar, sempre verificar”. No modelo Zero Trust, nenhum usuário ou dispositivo é confiável para acessar um recurso até que sua identidade e autorização sejam verificadas”, explica.
O processo se aplica àqueles que normalmente estão dentro de uma rede privada, como um funcionário em um computador da empresa que trabalha remotamente de casa ou, no caso de indústrias, daqueles que usam dispositivos móveis no chão de fábrica. Ele também se aplica a todas as pessoas ou dispositivos fora dessa rede, não fazendo diferença se elas já acessaram a rede antes ou quantas vezes. A identidade nunca será confiável até ser verificada novamente, já que o conceito assume que todas as máquinas, usuários e servidores não são confiáveis até que se prove o contrário.
Na prática, o modelo Zero Trust funciona como uma proteção de segurança extremamente vigilante, que verifica as credenciais de maneira metódica e repetida antes de permitir o acesso, mesmo reconhecendo o usuário, duplicando esse processo para verificar sua identidade repetidamente. Para isso, conta com autenticação e autorização fortes para cada dispositivo e pessoa antes que qualquer acesso ou transferência de dados ocorra em uma rede privada, independentemente de eles estarem dentro ou fora desse perímetro de rede.
“Este processo também combina análise, filtragem e registro para verificar o comportamento e observar continuamente sinais de comprometimento. Se um usuário ou dispositivo mostrar sinais de ação diferente do anterior, ele será observado e monitorado como uma possível ameaça”, explica Montagnani, lembrando que essa mudança básica na abordagem supera muitas ameaças comuns de segurança.
O executivo reforça que uma das arquiteturas mais efetivas disponíveis no mercado é a da Akamai, que hoje conta com componentes como Zero Trust Architecture (ZTA), Zero Trust Network Access (ZTNA) e Zero Trust Edge (ZTE). “Uma arquitetura Zero Trust usa uma variedade de tecnologias e princípios diferentes para lidar com desafios comuns de segurança por meio de técnicas preventivas. Esses componentes são projetados para fornecer proteção avançada contra ameaças à medida que os limites entre o trabalho e a casa desaparecem, e uma força de trabalho remota cada vez mais distribuída se torna a norma”, diz.
Certificação
Para ajudar as indústrias a se preparar melhor, e superar a falta de profissionais especializados, a Exbiz conta com uma Certificação sobre Zero Trust. Gratuita, ela é voltada a profissionais de TI, especialistas em segurança de computadores, engenheiros de sistemas, arquitetos de segurança de computadores, CIOs e CISOs, e tem o objetivo de disseminar o conhecimento sobre Zero Trust e as principais soluções de segurança em cloud do mercado global. “É um treinamento básico com foco em Zero Trust, seguido de uma prova teórica para certificação da Exbiz”, explica Montagnani.
Durante o curso, além de aprender o que é a arquitetura Zero Trust, os participantes terão uma introdução à tecnologia Akamai e conhecerão mais de perto as soluções Zero Trust da Akamai, que tem na Exbiz um de seus principais parceiros no Brasil.
Para isso, a certificação está dividida nos seguintes módulos:
- Módulo 1: apresentação do conceito de SASE e como ele funciona, os principais conceitos do Framework e qual a sua importância no cenário atual de trabalho.
- Módulo 2: apresentação da arquitetura Zero Trust a partir do conceito de perímetro de rede e como este deve se aplicar atualmente na sua empresa.
- Módulo 3: apresentação da Akamai e de conceitos como Edge, a borda da Internet, e porque ele é essencial para a segurança digital.
- Módulo 4: apresentação do Akamai’s Edge e o portfólio Zero Trust, que conta com as principais soluções da Akamai, como WAF (Web Application Firewall), DNS (Domain Name Service), MFA (Multi-factor Authentication) e ZTNA (Zero Trust Network Access).
- Exame Final: Em cada uma das etapas do curso, os participantes responderão a um questionário com duas questões para testar o seu aprendizado e conseguir avançar para o próximo módulo.
Os interessados em realizar a certificação da Exbiz, podem se inscrever aqui.