Os principais erros cometidos pelas empresas em cibersegurança

O ano de 2023 apresentou um aumento de sequestro de dados (ransomware) e extorsões nas empresas, segundo dados do novo relatório da Allianz Commercial, Tendências de Segurança Cibernética 2023: As últimas ameaças e as melhores práticas de mitigação de riscos – antes, durante e após um hack.

Apesar de a frequência de incidentes cibernéticos ter se estabilizado em 2022, o levantamento apontou um aumento de 50% nos casos de ransomware já no primeiro semestre de 2023, com a potencialização de modelos como o Ransomware as a Service (RaaS). Para a NovaRed, uma das maiores empresas de cibersegurança da América Latina, os executivos ainda cometem erros básicos em segurança que levam ao agravamento das vulnerabilidades cibernéticas e a dificuldade em prevenir e responder às ameaças.

“Quem não cuida da cibersegurança do negócio acaba pagando caro mais cedo ou mais tarde. Para se ter uma ideia, o levantamento da Allianz aponta que violações cibernéticas não detetadas e contidas precocemente podem levar a repercussões até mil vezes mais caras do que se o ambiente estivesse devidamente preparado para prevenir e responder rapidamente aos incidentes cibernéticos. No entanto, alguns erros básicos ainda são cometidos no dia a dia corporativo e desencadeiam em vulnerabilidades ainda maiores”, afirma Adriano Galbiati, diretor de Operações da NovaRed.

O executivo listou cinco dos principais erros cometidos pelas empresas em cibersegurança neste ano:

1. Falta de visibilidade dos dados

Diante de ambientes digitais cada vez mais complexos, principalmente com a recorrente partilha de dados com terceiros, o monitoramento dos riscos se torna ainda mais desafiador. Adriano Galbiati destaca que não há como defender sem conhecer os dados disponíveis e suscetíveis a ataques. “O Shadow IT, por exemplo, é um fenômeno comentado há mais de 10 anos sobre grandes organizações em que setores fora do TI, implementam novas ferramentas sem notificar os demais colegas. Ou seja, tanto os profissionais de segurança quanto de TI, ficam alheios a novos riscos envolvendo o uso de tecnologias com informações sensíveis da companhia. Isso ainda é algo que acontece frequentemente nos negócios e demonstra uma falta de cultura preventiva entre todos os profissionais”.

2. A cibersegurança ainda não está no alto escalão

Para Adriano, a raiz dos principais déficits em segurança da informação se deve pela falta de alinhamento com o board executivo. Além disso, é preciso que a cibersegurança seja estruturada a partir da liderança para ser priorizada em todos os processos. “A falta de conhecimento dos executivos sobre os riscos cibernéticos faz com que os investimentos na área sejam mais escassos. Ter profissionais especializados em cibersegurança participando na tomada de decisões faz toda a diferença para existir um direcionamento mais assertivo dos recursos de monitoramento e segurança, bem como priorização da cibersegurança por todos os departamentos da empresa”, explica.

3. Negligência nas estratégias preventivas

Com o aumento de ciberataques, a prevenção deve ser trabalhada para minimizar as vulnerabilidades, mas também considerar um Plano de Resposta a Incidentes de Segurança Cibernética (IRP) em caso de concretização de um ataque. Essa estratégia faz parte da mitigação dos riscos e torna o processo de recuperação menos danoso em termos financeiros, legais e de reputação. “Se a organização não possui um plano e qualquer estruturação para a resposta ao incidente, o processo de recuperação será mais demorado por demandar uma análise do ambiente que provavelmente levará a poucas conclusões. Até isso tudo for feito, parte das evidências já será apagada pelo cibercriminoso.”, afirma Adriano.

O executivo também destaca como a falta de preparo para casos de incidente pode ocasionar em medidas precipitadas que prejudicam no processo de avaliação das proporções do ataque: “Quando um ataque de ransomware está acontecendo, um grande erro é achar que pode interromper ao desligar o servidor. Na realidade, os dados podem ser perdidos definitivamente e a equipa de segurança não conseguirá averiguar as evidências do que causou a vulnerabilidade. O certo é isolar os equipamentos da rede e deixar para avaliar depois do ataque”, diz.

4. Falta de parceiros estratégicos

Devido à complexidade da área de cibersegurança, Adriano conta que as empresas precisam contar com profissionais qualificados e atualizados para se proteger das novas ameaças cibernéticas do mercado e evitar novos pontos de vulnerabilidade. No entanto, a escassez de mão de obra qualificada e o alto turnover entre os profissionais se tornam grandes entraves para a obtenção de parceiros estratégicos em segurança. “Ter bons parceiros é imprescindível para conseguir implementar novas tecnologias de forma segura e traçar planos de cibersegurança eficazes. Em empresas de menor maturidade digital, com recursos ainda mais limitados para infraestrutura de defesa, essa dificuldade é ainda mais presente”, relata Galbiati.

Estima-se no mundo que 3.5 milhões de posições em Segurança da Informação não serão preenchidas em 2025, segundo a Cybercrime Magazine. “Essa lacuna pode representar, numericamente, aproximadamente a população do Uruguai. É por isso que as empresas precisam fazer uma integração prévia com equipes terceirizadas que contenham profissionais capacitados para atender a essas demandas, como no caso de um Centro de Operações de Segurança (SOC), por exemplo”.

5. Pagamento do resgate de dados

Adriano alerta sobre o impacto prejudicial de pagar pelo resgate no sequestro de dados. Ainda assim, a prática vem crescendo recentemente, entre profissionais despreparados para a resposta de um incidente cibernético.

O relatório da Allianz também comprova esse hábito, indicando que o número de empresas que pagam um resgate passou de apenas 10% em 2019 para 54% em 2022. “No momento de pressão, o resgate pode parecer a solução mais rápida, porém você recebe os seus dados de volta num ambiente infetado e propenso a novos ataques, além de comprovar que o cibercrime é um modelo lucrativo”, afirma o executivo. Estudo da Cybersecurity Ventures constatou que o Cibercrime irá faturar USD 10,5 trilhões por ano até 2025, num crescimento anual de 15% no mundo todo.

“Para 2024, é preciso avaliar todas as falhas cometidas, pontuar o que deu certo, rever estratégias e, acima de tudo, desenvolver uma cultura organizacional capaz de orientar todos os níveis sobre as responsabilidades na segurança do ambiente digital corporativo”, finaliza Adriano Galbiati.