Cibersegurança exige mudança cultural das empresas

Written by

Cibersegurança exige mudança cultural das empresas

A segurança cibernética é um trabalho de equipe, que exige planejamento e confiança mútua. Essa é a visão de Abian Laginestra, CISO/DPO e CEO da Kimoshiro, compartilhada pelos primeiros líderes de Segurança da Informação no Brasil.

Recentemente, por falta de uma cultura de segurança e proteção de dados no Brasil, diversas crises eclodiram. Uma possibilidade de mudança nessa direção é a conscientização sobre a segurança cibernética.

A mudança cultural nas empresas na visão de segurança cibernética foi impulsionada por um forte golpe em cima dos times de TI, e não de maneira estruturada ou desejada pela alta administração. Era um tema árido para o conselho das empresas, mas a segurança da informação tornou-se fundamental pelo significativo aumento de colaboradores remotos, além do advento da LGPD.

As empresas que tinham planos de desenvolvimento digital, com a pandemia aceleraram o processo para atender a demanda. A necessidade de sobrevivência mercadológica antecipou a arquitetura digital e por consequência, a da Segurança da Informação (SI). Soma-se a isso o fato das primeiras empresas começarem a ser autuadas por descumprirem a LGPD. A suspeita é de que, se não houvesse a lei, o tema continuaria sendo tratado com parcimônia pelos gestores.

Sem o mercado saber exatamente o que representava a disciplina, houve a necessidade de ativar um recrutamento interno nas áreas de TI por analistas capazes e confiáveis. Um exemplo desses especialistas é o analista de Blue Team (tanto em infraestrutura, quanto em desenvolvimento), que conta com atributos como o de ser um técnico comprometido, além de ter conhecimento profundo do business. Nos times de hoje, compete à “esquadra de elite” a responsabilidade de um tráfego de informações com altos níveis de confidencialidade e da vulnerabilidade das empresas.

Processos de Segurança

Com a implementação dos planos de contingência e de crises desencadeadas por ataques cibernéticos em redes menos preparadas, surgiram algumas preocupações e ações práticas nos processos de segurança das empresas, como:

  • Treinamento do usuário – É primordial para gerenciamento de risco e SI treinar os usuários – de profissionais liberais até altos executivos – porque a percepção de cibersegurança e ciberdefesa é muito baixa. Contas nas redes sociais ligadas a comércio digital podem ser hackeadas ou clonadas e, ingenuamente se acredita ainda hoje que o hacker é um adolescente no porão da sua casa. E ao contrário dessa ideia, são grupos criminosos organizados. De acordo com um relatório da Norton Cyber Security, em 2017 o Brasil passou a ser o segundo país com maior número de casos de crimes cibernéticos, afetando cerca de 62 milhões de pessoas e causando um prejuízo de US$ 22 bilhões.
  • Medidas de segurança da informação – As medidas de segurança necessárias devem ser exequíveis de acordo com cada negócio. E não é eficiente seguir frameworks como NIST, LGPD, ISO 31000, sem dialogar com os setores da empresa.
  • Consciência de risco – Existem dois tipos de empresa, as que foram atacadas e sabem e as que estão sendo atacadas e não sabem. As listadas em bolsas principalmente, seguem sendo atacadas. A superfície de ataque no mundo digital é enorme, e as empresas precisam mitigar essas ameaças avançadas com uma defesa em profundidade inteligente de equipes treinadas, e identificar vestígios tecnológicos deixados por usuários em serviços digitais (Footprint digital).

Escola do crime na cultura de segurança no Brasil

Relatórios da Trend Micro e da Symantec demonstram um crescimento exponencial das ondas de ciberataques no mundo, anualmente.

Até pouco tempo o crime analógico em países da Ásia e Europa Oriental era apartado do crime digital.

Facções criminosas no Brasil e Cartéis do México criaram o conceito de que o crime analógico e o digital podem ser complementares. Uma nova safra de incidentes na América Latina, que consiste em clonagem de contas, de cartões de crédito e em redes de entrega, promoveu ao criminoso digital a proteção armada do criminoso analógico. E a modalidade foi exportada para as máfias da Rússia e China, provocando uma outra onda de ciberataques. Exemplo – a empresa pode sofrer um ataque ao sistema logístico, que coleta informações da rota dos seus caminhões, e seu carregamento é assaltado fisicamente. Aí encontramos uma dicotomia entre os conselhos das empresas que ainda banalizam esses crimes, e a própria realidade da nossa sociedade, onde técnicos especialistas de cibersegurança são cooptados a trabalhar para as facções criminosas.

Capacitação em segurança

Uma crise provocada pela quebra de Segurança Cibernética pode trazer um custo imensurável por envolver vários setores das empresas. Uma solução para computação em Nuvem, Big Data e Segurança da Informação é a de contratar consultorias de cibersegurança, que tem especialistas com modelos e processos de segurança, e que podem treinar e formar dentro das empresas profissionais capacitados. Ainda hoje, existe uma falta generalizada de analistas de segurança no mercado de TI.

A Kimoshiro, numa iniciativa de inclusão e igualitarismo, oferece na empresa programas de contratação de jovens em situação de carência fora das capitais, e a formação de mulheres dentro da área de cibersegurança.

Abian Laginestra

Abian Laginestra é especialista em segurança da informação, MBA em Gestão de segurança da informação. Com passagem nos mercados siderúrgico, jurídico, farmacêutico, financeiro e de TI nas áreas de Segurança da informação, aderência regulatória e melhores práticas. Top 100 CIO leaders em 2015 e 2017, 3 Lugar Security Leaders categoria banco digital em 2018, Indicado a executivo de TI em 2019, defensor da bandeira de uma sociedade digital mais segura e que a privacidade é direito inalienável de todos.

Abian Laginestra

Comments are closed.