Riscos cibernéticos deixam empresas vulneráveis à ataques

Os ciberataques à grandes empresas pelo mundo têm se tornado comuns, causando danos morais e financeiros à inúmeras corporações. Portanto, há a necessidade de conhecer os riscos cibernéticos que podem afetar a sua empresa para evitar problemas futuros.

Antigamente, podíamos considerar os riscos cibernéticos nas empresas como algo irrisório. Mas com o aumento do uso das mídias e um maior volume de dados processados, sua vulnerabilidade também aumentou, exigindo mais segurança.

O que são riscos cibernéticos?

Os riscos cibernéticos, ou cyber risks, são vulnerabilidades que aumentam as possibilidades de ciberataques dentro de uma empresa.

Como já dissemos anteriormente, o aumento desses riscos está diretamente relacionado ao crescimento da conectividade e digitalização em todo o mundo.

As inovações digitais provocaram mudanças e transformações, tanto nos hábitos dos consumidores como nos modelos de negócios, fazendo surgir a indústria 4.0 com a incorporação de novas tecnologias.

Os avanços em analytics e Big Data, por exemplo, fizeram com que as empresas pudessem melhorar a experiência do usuário, bem como oferecer serviços e produtos sob medida; elaborados por meio de análise e intensa coleta de dados pessoais sobre hábitos e comportamentos.

Assim, hoje vemos praticamente todas as organizações tratando dados pessoais e corporativos, como no caso da coleta de números de cartão de crédito, identidade, planos de negócios etc.

Contudo, a utilização das novas tecnologias muitas vezes não vem acompanhada de uma segurança adequada, gerando riscos cibernéticos que possibilitam os ciberataques.

Setores mais afetados pelos riscos cibernéticos

Apesar de observarmos um número cada vez maior de casos de violação cibernética, de acordo com a Pesquisa Global de Segurança da Informação da PwC, de 2018, 44% dos 9.500 executivos entrevistados ainda não possuíam estratégias definidas para a área de Segurança da Informação.

As consequências do cyber risk elevado dentro de uma organização e a consequente violação cibernética podem ser inúmeras e de longo alcance, incluindo danos à imagem e reputação da empresa que podem perdurar por anos.

Por isso, vemos a necessidade cada vez mais urgente de uma gestão de riscos cibernéticos, preocupação e investimento em Segurança da Informação.

Entre os setores que mais são afetados pelo risco cibernético podemos citar, por exemplo:

• saúde
• atacado e varejo
• indústrias
• energia elétrica
• empresas de tecnologia
• instituições financeiras

Normalmente, as que estão mais vulneráveis aos ataques e apresentam os maiores riscos cibernéticos são as pequenas e médias empresas, uma vez que essas não investem tanto em segurança.

Tipos de riscos cibernéticos

Atualmente, a supervisão de riscos cibernéticos deve ser parte fundamental do planejamento estratégico de uma empresa. Isso porque, como já vimos, muitos podem ser os problemas decorrentes de possíveis ataques.

Assim, existem diversos tipos de ciberataques que podem ser aplicados em uma empresa sem uma gestão de riscos eficiente, a depender da intenção do criminoso. Dentre eles podemos citar:

1. Ransomware
2. Phishing
3. Scareware
4. DNS Cache Poisoning

Ransomware

O primeiro tipo de ciberataque é o ransomware. Trata-se de um software nocivo, um tipo de malware, que tem como fim a restrição do acesso ao sistema infectado por ele.

Ou seja, esse tipo de ataque bloqueia o acesso ao sistema do seu dispositivo eletrônico e, em troca da liberação do acesso a esses dados, exige um valor de resgate (ransom), normalmente realizados via criptomoeda ou cartão de crédito.

Um dos métodos mais comuns para a entrada do ransomware em um computador é por meio de spam malicioso (malspam), um e-mail não solicitado que inclui anexos ou links para sites maliciosos.

Outro método de entrada do ransomware é a propagando maliciosa, ou malvertising. Isto é, o uso da publicidade para a distribuição de malwares  que demandam pouca ou nenhuma interação do usuário.

Isso quer dizer que, mesmo navegando em um site legítimo e sem clicar em nenhum anúncio, o usuário pode ser direcionado para um servidor criminoso.

No caso de computadores corporativos que armazenam inúmeros dados importantes, o ataque por meio do ransomware pode ser muito perigoso.

Phishing

O phishing trata-se do tipo mais simples de ciberataque, mas também um dos mais eficientes, recorrentes e perigosos.

O objetivo principal desse tipo de ataque é fisgar o usuário por meio de mensagens transmitidas por e-mail ou mensagens de texto, por exemplo.

Essas mensagens podem imitar pessoas ou organizações confiáveis, enganando seu leitor e induzindo-o a acessar links maliciosos. Também é comum que essas mensagens exijam uma ação do usuário, obrigando-o a assumir riscos por alguma consequência.

A partir dessa ação, que normalmente inclui o fornecimento de informações pessoais, seus dados podem ser facilmente violados.

Scareware

Já o scareware é um tipo de malware que parte da tentativa de convencer usuários a realizar algum tipo de download ou compra de softwares para roubar seus dados.

Os mecanismos utilizados para o scareware incluem anúncios pop-up que, em suma, relatam algum tipo de problema com o dispositivo do usuário, induzindo-o a realizar seu download para a resolução desse problema.

Esses anúncios frequentemente são muito similares às caixas de diálogos dos sistemas operacionais, o que induz o usuário ao engano.

DNS Cache Poisoning

DNS Cache Poisoning, ou envenenamento de cache DNS, é um tipo de ataque que tem como objetivo o desvio do tráfego de servidores legítimos, direcionando a caminhos maliciosos, por meio da exploração em brechas no servidor de nomes e de domínio.

Ou seja, esse tipo de ataque leva o usuário à um código de envenenamento do cache DNS por meio de URLs maliciosas.

Uma vez infectado, o computador redireciona o usuário para sites falsos que parecem legítimos, deixando-o vulnerável a diversos riscos de violação de dados.

Como fazer uma boa gestão de riscos cibernéticos?

O gerenciamento de riscos cibernéticos diz respeito à identificação dos riscos e vulnerabilidades e aplicação de ações administrativas e solução de TI, a fim de garantir a segurança cibernética.

No entanto, para criar um sistema de gerenciamento de risco cibernético é preciso que a empresa realize uma análise na sua infraestrutura e nos potenciais riscos de forma muito individual, entendendo que não existe uma única fórmula para todas as empresas.

Isso quer dizer que cada empresa possui prioridades diferentes quanto ao nível de criticidade de cada informação.

Desse modo, a segurança cibernética deve ser executada em camadas, investindo em mais proteção para os ativos mais importantes.

Portanto, é necessário mapear os processos e dados sensíveis da empresa, a fim de definir uma ordem de prioridade.

O ideal é que o processo de gerenciamento de riscos siga a abordagem do CMM – Capability Maturity Model, que constitui os cinco níveis a seguir.

1. Inicial: evidencia o reconhecimento da organização quanto à necessidade do gerenciamento das questões de TI. Mas, nesse nível, a empresa ainda não possui processos padronizados, porém existem abordagens específicas aplicadas;
2. Repetitivo: existe uma consciência global sobre os problemas de TI na empresa. Nesse nível, as atividades de governança e indicadores de desempenho estão em processo de desenvolvimento;
3. Definido: neste nível, os procedimentos já foram padronizados, documentados e implementados, com um treinamento informal já estabelecido. Os indicadores de desempenho são registrados e rastreados;
4. Gerenciado: aqui, as responsabilidades já são bem delimitadas. Os processos estão alinhados com o negócio;
5. Otimizado: por fim, nesse nível os processos estão refinados para um nível de melhores práticas externas. Assim, a implementação das políticas de governanças constituem uma organização, pessoas e processos que se adaptam rapidamente e sustentam com eficácia seus requisitos.

Vale mencionar que a preocupação com o elemento humano é essencial para uma boa gestão de riscos, uma vez que já vimos que alguns ataques podem vir do acesso humano a arquivos maliciosos.

Assim, é importante incluir informações de segurança às políticas da empresa, definindo aquilo que é ou não permitido.

Como avaliar o ambiente de segurança e privacidade de dados da minha empresa?

Faça os seguintes questionamentos:

• sua empresa possui um programa de cibersegurança e de proteção de dados?
• quem é responsável pela segurança cibernética e proteção de dados?
• existe uma política de segurança cibernética e um plano de ação em resposta a acidentes cibernéticos na empresa? Eles estão implantados e divulgados?
• qual o nível de experiência dos profissionais de TI na sua empresa?
• quais são os objetivos anuais da organização quanto à segurança cibernética?
• o orçamento dedicado à segurança cibernética está adequado e suficiente?
• a empresa adota frameworks de segurança cibernética, como a ISO 27001, por exemplo?
• as iniciativas de inovação e transformação digital da organização consideram os riscos cibernéticos e a proteção de dados (cyber & privacy by design)?

As respostas a esses pontos nortearão o caminho que deve ser seguido para uma melhor gestão de riscos cibernéticos.

Como a LGPD está relacionada aos riscos cibernéticos?

Tendo em vista os inúmeros casos de violação de dados, governos, autoridades públicas, reguladores e também os consumidores têm exigido mais comprometimento das empresas com a segurança cibernética e a proteção de dados.

Em resposta a essas exigências, em 2018 a União Europeia sancionou o GDPR, sigla em inglês para Regulamento Geral Sobre Proteção de Dados, uma legislação que determina normas para o tratamento de dados pessoais pelas empresas.

Com base na lei europeia, no mesmo ano da sua vigência, o Brasil publicou a Lei Geral de Proteção de Dados, ou LGPD, com o intuito de estabelecer ações específicas para o tratamento de dados pessoais, regulando a questão no país.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials!

Com isso, o nível de atenção à proteção da informação cresceu no Brasil, obrigando as empresas a se adequarem aos dispositivos da lei, uma vez que seu descumprimento está sujeito à multas e sanções.

Assim, o gerenciamento de riscos cibernéticos não é apenas uma questão de segurança, mas também diz respeito ao alinhamento às diretrizes definidas pela legislação brasileira.