Ataques Cibernéticos: O Novo Desafio Empresarial
A falta da gestão de riscos sobre a proteção de informação contra os ataques cibernéticos é um problema que preocupa o mundo empresarial. Apesar de descrença das próprias organizações, a saída mais sensata para o empreendedor é buscar criar boas práticas e formar seu próprio Sistema de Gestão da Segurança da Informação, ou SGSI.
O SGSI funciona em um tripé que busca salvaguardar a integridade, confidencialidade e disponibilidade dos dados e informações de sua empresa.
De acordo com um relatório feito pela empresa de auditoria e consultoria Deloitte e pelo Instituto Brasileiro de Governança Corporativa, os ataques cibernéticos figuram entre um dos cinco pilares dos riscos empresariais enfrentados no mundo.
Descrença na Segurança que se Possui
Primeiramente, a evolução constante da tecnologia e as transformações dos negócios B2C e B2B no mundo digital fazem deste um desafio do presente e para o futuro.
Em segundo, apenas 34% das empresas brasileiras pesquisadas possuem um centro de operações de segurança para riscos cibernéticos. Outros 30% não possuem qualquer proteção mais avançada, mas têm planos de implementar um para o futuro. Enquanto 36% das empresas não possuem qualquer plano de segurança e nem planos para sua implementação.
Desafios das Empresas
Entre os desafios das empresas no mundo digital estão a proteção de dados, a gestão de terceiros que fazem parte das operações de sua empresa, a disruptura tecnológica que esse constante avanço representa, e a integridade das informações corporativas.
Além disso, a implementação de um ambiente digital livre de ataques cibernéticos muitas vezes esbarra na cultura da organização, na falta de prioridade da administração em relação ao assunto, na não criação de uma metodologia eficiente de gestão de riscos e na falta de integração entre as áreas de risco da empresa.
Ou seja, é uma rede de pequenas operações separadas que seriam melhor resolvidas por meio de controle, compliance e auditoria interna.
O Que é um Risco Cibernético
Existem diversas descrições para definir o que é esse risco. Vamos nos ater ao que a International Organization of Securities Commissions (IOSCO) esclarece:
“Risco cibernético refere-se aos potenciais resultados negativos associados a ataques cibernéticos. Por sua vez, ataques cibernéticos podem ser definidos como tentativas de comprometer a confidencialidade, integridade, disponibilidade de dados ou sistemas computacionais.”
IOSCO
A ocorrência de ataques cibernéticos já é uma realidade para todas empresas brasileiras. Assim, quatro em cada dez organizações da América Latina afirmam ter sofrido um incidente de segurança cibernética entre 2016 e 2018 de acordo com uma pesquisa realizada com 150 empresas de sete países da América Latina e Caribe.
Na mesma pesquisa, cerca de 70% das empresas afirmaram não estar certas da eficácia de seus processos para combater incidentes.
Criminosos e Motivações
Existem certos grupos já identificados pelas polícias do mundo inteiro como perpetradores usuais desse tipo de crime cibernético. É um grupo heterogêneo que vai de células terroristas, máfias, inimigos de Estado buscando a desestabilização do seu ou outros países, e o tipo mais intimido e comum: o funcionário, ou ex-funcionário.
Funcionários insatisfeitos podem causar problemas
A motivação geralmente é financeira, mas pode ser também para obter vantagens competitivas para empresas rivais por meio de espionagem, vingança por uma demissão considerada injusta, ou como a já mencionada motivação política de desestabilização de governos.
É preciso alertar que essas pessoas não precisam ter conhecimento técnico sobre tecnologia da informação. Existem inúmeros programas com diversos métodos de invasão desenvolvidos por hackers e vendidos na chamada Deep Web.
Inteligência Artificial e Machine Learning
O fato é que com o desenvolvimento tecnológico cada vez maior da Inteligência Artificial, Machine Learning e algoritmos de automação presentes em computadores e dispositivos móveis ligados à internet, cria-se uma miríade de novas possibilidades de oferecimento de produtos ou serviços.
No entanto, na mesma velocidade, criam-se uma série de novos riscos à sua empresa por parte de hackers e pessoas mal-intencionadas.
A Industria 4.0 que produz bens de valores digitais já é uma realidade no mundo ainda que seja mais perceptível em maior ou menor grau no dia a dia das empresas, não se engane: seu empreendimento, por mais desconectado do mundo digital que seja, também é passível de sofrer ataques ou golpes pela internet.
A onipresença da IA
Os gastos de multinacionais no desenvolvimento da Inteligência Artificial, ou IA, passa da casa dos bilhões. São ferramentas a princípio benéficas para melhorar o dia a dia das empresas
As big techs mais famosas do mundo como IBM, Apple, Amazon e Uber já desenvolvem softwares dotados de inteligência artificial que se conectam a seus pares de uso doméstico. Em outras palavras, aos colaboradores das empresas.
Esses tipos de mecanismos podem ter acesso a informações de nossos lares, vida financeira e informações sigilosas do ambiente de trabalho.
São algoritmos criados para interpretas ações repetitivas de nós, seus proprietários, para prever a demanda de uso e serviços.
Os hackers também têm se empenhado para criar bots capazes de realizar ataques por meio de sites falsos com orientação para phishing. O phishing consiste em roubo de dados pessoais ou empresariais como dados de cartões de crédito, ou arquivos empresariais, por exemplo.
Ninguém Está a Salvo
Qualquer empresa, seja micro, pequena, média, ou um grande empreendimento, que faça o uso de ferramentas ligadas à rede mundial de computadores está sujeita a ataques cibernéticos. Se você não cria em torno de sua empresa um hábito de boas práticas, pode em breve fazer parte da estatística de vítimas.
Por isso, o que para muitos pode ser tema de ficção científica, ou um assunto técnico exclusivo para os profissionais de tecnologia da informação das empresas, é na verdade, algo de extrema importância para o empreendedor.
Reputação Manchada
Dessa maneira, os problemas envolvendo a exposição de dados sigilosos ou informação confidencial pode acarretar em danos à reputação de sua empresa e aos seus stakeholders.
Podemos elencar algumas das dores de cabeça: perda de receita, quebra de confiança de clientes, a perda ou exposição de dados estratégicos ou confidenciais, além de poder colocar a empresa na difícil situação de se tornar alvo de multas e litígios judiciais.
Problema de Difícil Detecção
Certamente o pior de tudo é que essa falta de conscientização faz com que as organizações demorem a perceber que algo está errado. Por exemplo, leva-se minutos para que um ataque cibernético à uma organização ocorra, e pode levar dias, ou meses, até que os gestores percebam que algo de errado aconteceu.
Muitas empresas descobrem que há algo de errado tarde demais
De acordo com um levantamento realizado pela Accenture e pelo Instituto Ponemon ainda em 2018, cerca de 21% empresas participantes da pesquisa foram alertadas de ataques por parte de integrantes da comunidade de segurança, e outros 17% por empresas concorrentes.
Tipo de Ataque
Negação de Serviços
Através dessa técnica, os perpetradores sobrecarregam sistema de informação com requisições. Desse modo, enviam requisições superiores à capacidade de resposta do sistema. Como este não pode suportar essa quantidade de requisições, fica indisponível ou com o desempenho prejudicado.
Interceptação
O hacker se insere no meio da comunicação entre o usuário e um determinado sistema, como objetivo de roubar as informações trocadas entre eles.
Engenharia Social (Phishing)
O uso de mensagens falsas para enganar usuários e obter informações privilegiadas ou confidenciais de forma indevida.
O pshishing é um dos principais métodos de ataque e roubo de dados
Ele conta com a ingenuidade ou o descuido do usuário para obter informações que serão usadas em potenciais ataques. O modo mais conhecido de crime cibernético do tipo é o phishing, ou seja, o envio de uma mensagem, geralmente por e-mail, com um link ou um arquivo em anexo que baixa o malware.
Pretexting
Uma variação desse ataque é o pretexting, que envolve a construção de uma narrativa, contudo falsa, visando obter informações. Dessa maneira, ele implica na troca de mensagens entre o criminoso e a vítima.
É o caso, por exemplo, de e-mails ou mensagens de Whatsapp, enviados no nome de executivos ou pessoas chave, que pedem que um funcionário da empresa, geralmente da área financeira, transfira recursos para determinada conta.
A engenharia social ainda pode ser realizada por meio de ligações telefônicas ou buscas no lixo das organizações para buscar informações sensíveis e que não tiveram um fim adequado.
Roubo de Senha
A utilização de técnicas para identificação de credenciais válidas de usuários e suas respectivas senhas.
Manipulação de Dados em Sistemas
A utilização de técnicas para contornar controles de validação de dados nos sistemas internos das empresas, ou seja, com o intuito de obter informações de forma indevida.
Como enfrentar esse desafio?
Certamente você está a frente a sesse grande desafio. Como empreendedor, qual a melhor maneira de se posicionar diante da questão?
Sendo assim, ele deve se comportar como um gestor. Dentre todos os ataques cibernéticos há o fator humano, por exemplo, que por desconhecimento pode pôr toda a segurança digital da empresa em risco.
As boas práticas na internet durante o trabalho devem ser discutidas com seus colaboradores
Portanto, parte da segurança, no que tange a área digital, deve ser atribuída aos funcionários. Dessa maneira, esses devem incorporar as boas práticas em suas atividades.
Boas Práticas
O mais importante é entender por boas práticas um programa continuado e tendo em vistas os constantes avanços tecnológicos, logo, deve esclarecer os funcionários sobre os riscos inerentes à internet e dispositivos usados com acesso à mesma.
Podemos aqui relacionar algumas práticas:
- Promover programas de treinamento, educação e conscientização;
- Construir uma cultura de responsabilização pelo sistema de controles internos da empresa;
- Implementar sistemas que permitem o cumprimento de todas as normas de proteção de dados que se aplicam à empresa;
- Implementar medidas para mitigar os riscos advindos de parceiros de negócios que possuem acesso ao sistema da empresa, ou aos seus dados.
Legislação Brasileira
No Brasil, a Lei 13.709, ou Lei Geral de Proteção de Dados Pessoais (LGPD), trata de dados pessoais e estabelece multa que vai até 2% do faturamento anual da companhia, então limitada a R$ 50 milhões por infração.
Por fim, ela foi sancionada em agosto de 2018, modificada pela Lei 13.853/19, e está prevista para entrar em vigor em agosto de 2020.