No Brasil, cada vez mais, vem aumentando o número de empresas que sofrem com vazamento de dados. Com a tecnologia evoluindo em ritmo acelerado, as companhias precisam proteger seus sistemas e dados. Os desafios de segurança surgem constantemente, tornando mais difícil proteger informações contra roubo, danos e uso indevido. As violações de segurança cibernética podem ter consequências financeiras, reputacionais e legais com as quais nenhuma organização pode se dar ao luxo de arcar.
Qual é o principal método utilizado para um ataque cibernético?
Os cybercriminosos estão cada dia mais aprimorando suas técnicas de invasão, e a mais utilizada hoje em dia é o phishing, quando são enviados e-mails falsos que se assemelham muito aos verdadeiros ou notícias que estão sendo o assunto do momento, com links ou arquivos ou imagens, objetivando que o usuário, que não recebe treinamento ou não observa com atenção, clique no arquivo e, a partir de então, o malware instala um vírus na rede, e assim as informações são sequestradas.
“Prevenir é sempre a melhor solução. É preciso que as empresas invistam na segurança e proteção de dados, tanto delas mesmas quanto de titulares”, alerta Heliezer Viana, sócio da Mazars Digital.
Diante desse cenário, quais medidas de prevenção as companhias podem tomar? Viana, lista alguns exemplos:
Cultura em Segurança Cibernética
Em primeiro lugar é importante a empresa construir uma cultura de Cyber Segurança. Isso é crítico para o seu negócio e fator predominante para evitar interrupções das operações e prejuízos nos resultados, além, é claro, do impacto à imagem da empresa. A cultura em Segurança da Informação deve enfatizar o comportamento seguro que os colaboradores devem ter neste mundo digital. Quando a empresa dissemina essa cultura, ela aumenta seu nível de proteção e reduz a exposição aos riscos cibernéticos.
O engajamento dos líderes nessa cultura é que dará o “tom” a todos os colaboradores, eles são fatores críticos de sucesso, contribuindo com a consciência em segurança, treinamentos, recrutamento e boas práticas.
Investimentos em equipe e infraestrutura
Ter uma equipe própria ou terceirizada cuidando diuturnamente -- 24 horas por dia e 7 dias da semana -- da segurança é algo que não dá para ficar sem. “Os ataques são globalizados e não possuem hora certa de serem feitos. É por isso que se faz necessário o monitoramento contínuo da segurança para que as respostas a qualquer incidente seja a mais rápida e assertiva possível”, esclarece o executivo.
Viana ainda acrescenta que também é necessário que a empresa possua sistemas conceituados do mercado para proteger a rede e os dados, tais como: antivírus, firewall de última geração, sistema de proteção contra malware, sistemas de monitoramento que ajudam a detectar, analisar e responder a ameaças cibernéticas e outras necessárias, conforme o tipo de negócio e tamanho da empresa. “Embora os investimentos em Cyber sejam às vezes considerados por algumas organizações como “alto investimento”, é importante ressaltar que o retorno é garantido”.
Outro ponto em que o executivo faz o alerta é que o primeiro passo da prevenção é saber o que é preciso proteger. “É necessário fazer um levantamento dos ativos de tecnologia, críticos ao negócio, quais são os sistemas e os bancos de dados que é preciso proteger. Na sequência, é fundamental entender quais são os riscos e quais são as contramedidas que a empresa precisa implementar para se proteger.”
Mais uma medida de prevenção importante, de acordo com o executivo, é o treinamento para todos os colaboradores que tenham acesso à tecnologia da empresa. “A equipe de tecnologia pode testar e fazer e-mails falsos para ver se os colaboradores assimilaram bem o treinamento; e quem clicar faz uma reciclagem. As campanhas de alertas também são necessárias.”
Para Heliezer, o que já é padrão e as empresas não podem esquecer é sempre manter os sistemas atualizados e ter políticas de controle, explicar para a equipe que não se deve usar o e-mail com o domínio da empresa em cadastros de sites, clubes de compras e nas redes sociais, também são medidas que ajudam a evitar as invasões de cybercriminosos.
Como proceder quando há vazamento de dados?
Quando a empresa tiver conhecimento de que dados foram vazados, o comitê de riscos da companhia deve ser acionado. Heliezer Viana afirma que esse comitê precisa ter as equipes das áreas de TI e Jurídica trabalhando em conjunto. “Primeiro é preciso fazer uma análise do impacto desse vazamento, tanto para as pessoas quanto para a empresa, e verificar a extensão desse vazamento: o que vazou? Qual é a quantidade? Que tipo de informação vazou (dados da empresa e/ou dados de titulares?). Para cada tipo de vazamento tem uma contramedida.”
Além desses exemplos citados, Viana também alerta para informações financeiras vazadas, quando empresas listadas na bolsa têm algum dado vazado que ainda não foi publicado, os danos são gigantescos.
“No caso de vazamento de dados de titulares (pessoas físicas), a empresa deve acionar o órgão regulador da Lei Geral de Proteção de Dados. A empresa tem que notificar e precisa avaliar se coloca um comunicado geral em seu site informando que teve vazamento ou se manda comunicados individuais”, afirma Viana.
As empresas que são consideradas mais sensíveis em termos de dados, de acordo com o executivo, são nas áreas de saúde e educação. “Mas é válido para todas as companhias que tenham dados de pessoas físicas sob seus cuidados, pois, além dos prejuízos financeiros com as multas que são aplicadas pela LGPD, também há danos na imagem da empresa.”
Sobre a Mazars − Especializada em auditoria, BPO, consultoria, serviços tributários e financeiros, a Mazars é uma empresa internacionalmente integrada, operando em mais de 90 países ao redor do mundo. Conta com a experiência e o conhecimento de mais de 40 mil profissionais para auxiliar clientes de todos os tamanhos em cada estágio de seu desenvolvimento. No Brasil, a Mazars tem mais de 900 colaboradores em seus seis escritórios (São Paulo, Campinas, Barueri, Rio de Janeiro, Curitiba e Joinville).
A Mazars tem uma equipe de Cyber Security especializada e certificada que pode ajudar na implementação ou avaliação dos controles e riscos cibernéticos.
