Os eventos regionais do Security Leaders reuniram líderes das mais diversas áreas de negócio em Porto Alegre, Brasília, Belo Horizonte e Rio de Janeiro, para debaterem os temas mais críticos da Cibersegurança brasileira. Entre os dilemas polemizados estão os meios de se enfrentar a dupla ameaça de invasão e vazamento de informações críticas, o famoso Hack and Leak. Entre essas duas frentes de ataques, a perda de dados sensíveis causa mais impacto se comparada à própria invasão.
Essas são dificuldades prioritárias a todas as verticais de negócio, visto que nenhuma delas está completamente imune ao cibercrime. Entretanto, os debatedores destacaram questões específicas em crises como essa, pois cada um dos setores lida diferentemente com os orçamentos de Segurança, tratamento dos dados pessoais e, principalmente, a gestão da própria reputação no cenário tecnológico.
No segmento de Saúde, por exemplo, o Gerente de Operações e Serviços de TI na Unimed-BH, Fernando Correa, lembrou da sensibilidade dos dados dos pacientes mantidos dentro das redes hospitalares, que envolvem também questões de natureza pessoal e privada.
“Além disso, a maturidade dos players é outro desafio crítico. Apesar do avanço dos recursos de IoT dentro dos hospitais, muitos desses devices contam pouco com a Cibersegurança, porque não são desenvolvidas por equipes de TI, mas por médicos que percebem a necessidade e buscam criar por conta própria. A nós sobra apenas aplicar medidas compensatórias para garantir a criticidade das informações em circulação”, destacou Correa na mesa de debates na capital mineira.
Além dele, Bruno Rebello, IT Manager na Embratur, lembra que o poder público, de maneira geral, também lida com especificidades, especialmente por tratar de recursos públicos e informações de todos os cidadãos. Portanto, qualquer impacto nas operações ou nos dados certamente causará problemas a uma parcela importante do país.
O principal risco
Independentemente dessas diferenças, perder dados em um vazamento é considerado um risco mais grave do que a invasão ou o hackeamento de sistemas. Isso ocorre pois a gestão de informações pessoais, especialmente de clientes, tem potencial de gerar dificuldades graves às instituições, além de serem os alvos preferenciais do cibercrime.
O Perito Criminal na Polícia Federal, Leonardo Greco, comparou a atuação dos hackers a um modelo extrativista: eles primeiro coletam informações valiosas antes de comprometer a sua presença no ambiente da vítima e seguem para a extorsão por ransomware. “Os acessos indevidos buscam sempre sistemas complexos e pouco visíveis da superfície de risco para garantir valores antes de tentar operações mais arriscadas”, explicou o perito em Brasília.
Nesse cenário, ter informações vitais vazadas na rede pode gerar desdobramentos reputacionais muito mais difíceis de se contornar. De acordo com os CISOs, comprometer a imagem da própria companhia pode ser ainda mais danoso, no longo prazo, do que ter prejuízos financeiros durante a paralisação das operações.
Segundo Paulo Barbosa, Gerente de Risco Cibernético na Unicred, informações não sensíveis ou recursos perdidos podem ser recuperados, até certo ponto. Já um impacto reputacional não é remediado com facilidade. “Isso está ligado à continuidade do negócio, pois dificilmente as pessoas voltam a confiar nessa instituição para materializar projetos e sonhos. Logo, muitas delas vão assistir suas próprias ações na bolsa despencarem pela perda de confiança”.
Segmentação, Governança e Pessoas
Apesar de tanto o hacking quanto o vazamento serem dificuldades conhecidas da comunidade Cyber, nenhuma delas possui solução simples. Na visão dos executivos, a melhor resposta está em uma jornada longa e complexa de aumento da maturidade empresarial, através de tecnologias e da criação de uma cultura de Segurança compartilhada por toda a organização.
“Precisamos pensar em um combinado de várias ações diferentes, incluindo os três pilares tradicionais da Cibersegurança: pessoas, processos e tecnologia. Os líderes precisam aplicar recursos como microssegmentação aliados ao treinamento de pessoas e aplicação de políticas de Zero Trust. Esse trajeto se faz com muita dedicação, tempo e comprometimento da empresa”, orientou Rui Borges Jr., Cyber Security na Vale na edição do Security Leaders no Rio de Janeiro.
Mas apenas soluções digitais não podem ser consideradas suficientes. De acordo com Leandro Marinho, Gerente de Segurança Cibernética em Automação Industrial na Petrobras, por mais importantes que as tecnologias sejam num primeiro momento, as equipes de SI precisam estar preparadas para operar essas ferramentas, em processos mais efetivos. Este é o momento de amadurecer tais processos para potencializar a efetividade da tecnologia.
O Diretor de Segurança da Informação na Neoway, Flávio Costa, concorda, acrescentando que essas mudanças todas dependem ainda de planejamentos multidisciplinares de toda a companhia. Segundo ele, sem a gestão adequada da Segurança e dos ativos de informação, qualquer controle se torna confuso e ineficiente.
“Governança e pessoas são os dois pontos mais importantes nesse caminho”, continua ele. “Podemos cercar todo o nosso parque tecnológico com o aparato mais avançado. Mas sem preparar os indivíduos em SI, isso tudo seria desperdiçado no primeiro ataque de phishing. A força de trabalho tem que ser incluída nas nossas estratégias”, conclui Costa na edição carioca.
