Por Dario Goldfarb*
Em um mundo cada vez mais digital, com ameaças de segurança cibernética mais complexas e sofisticadas, as organizações têm optado por usar dados confidenciais em seus aplicativos para operar e alcançar seus objetivos de negócios com eficácia.
A proteção desses dados deve ser prioridade, uma vez que estão entre os principais ativos das organizações atualmente. Isso envolve garantir a confidencialidade, para que pessoas não autorizadas não possam acessá-los, e a integridade e disponibilidade, para evitar que sejam alterados, destruídos ou que fiquem inacessíveis. Essa questão se torna ainda mais crítica à medida que as empresas avançam em sua transformação digital para oferecer soluções inovadoras de gestão de fraude e autenticação de usuários.
De acordo com um estudo da Sumsub, a fraude aumentou 30% em países da América Latina entre 2022 e 2023. O risco é ainda maior com o uso crescente de ferramentas de inteligência artificial generativa, como clonagem de voz, deepfakes e avatares que imitam pessoas reais. Essas tecnologias permitem a criação de vídeos falsos a partir de textos simples. Dados da LexisNexis Risk Solutions revelam que, pela primeira vez, golpes digitais superaram os físicos no Brasil, com 59% das empresas registrando um aumento no último ano.
Em média, as empresas gastam R$ 3,59 para cada real perdido. Esse desafio é intensificado pelo efeito multiplicador, que envolve não só perdas financeiras devido à fraude, mas também custos com mão de obra interna, taxas externas, despesas legais, custos de recuperação e os gastos com a reposição ou redistribuição de mercadorias perdidas.
Abaixo estão cinco dicas que todas as organizações devem seguir para proteger seus dados:
Programa de conscientização aos funcionários
Ensinar como funcionam os golpes e o que a IA generativa pode fazer é a melhor forma de prevenção. As organizações devem ter uma política de segurança documentada, explicando o que se espera de cada colaborador. Isso garante que todos sigam as mesmas diretrizes e tenham um ponto de referência. A política deve definir claramente as responsabilidades de cada funcionário para fortalecer a segurança cibernética. Afinal, a segurança é dever de todos, não apenas da equipe especializada, e a política deve ser comunicada de forma clara e estar acessível a todos por meio de sistemas internos.
Credenciais para logins corporativos
Embora seja comum em nossa vida pessoal, é essencial evitar que funcionários usem as mesmas senhas para acessos corporativos e pessoais. Os sistemas da empresa devem exigir senhas fortes e complexas, com pelo menos 8 caracteres, incluindo números, letras maiúsculas e símbolos. Isso dificulta que pessoas mal-intencionadas adivinhem a senha ou testem todas as combinações possíveis.
Restrição de permissões e privilégios
Embora seja necessário que os funcionários tenham as permissões adequadas para trabalhar, conceder acesso desnecessário aumenta os riscos em caso de incidentes de segurança cibernética. A melhor prática é garantir que cada colaborador tenha apenas os privilégios necessários para suas funções. Para começar, as organizações devem auditar os privilégios existentes, estabelecer um processo para conceder qualquer nova permissão onde existam aprovações e controles e realizar análises regulares de acesso.
Backup de nuvem
Utilizar backups em nuvem é essencial para proteger os dados de organizações que têm suas informações armazenadas localmente. Isso garante a recuperação dos dados em caso de destruição ou criptografia por um adversário que busca extorquir a empresa. A nuvem facilita tanto o processo de backup quanto a restauração das operações, caso as informações locais sejam comprometidas. Além disso, backups na nuvem oferecem mais durabilidade e resiliência, evitando que os dados se percam ou sejam excluídos com o backup.
Cultura de Segurança Compartilhada
A base de uma boa segurança cibernética é a cultura organizacional. Ela deve ser inclusiva e oferecer um ambiente seguro, sem culpar indivíduos quando algo dá errado ou quando um alerta acaba sendo falso. É melhor investigar 100 incidentes sem relevância do que ignorar um que merecia atenção. Métodos de treinamento antigos e desatualizados são cada vez mais ineficazes e podem criar uma falsa sensação de segurança.
As organizações devem focar em aumentar a conscientização e aprimorar o treinamento comportamental, promovendo mudanças positivas entre os funcionários para melhorar a segurança coletiva. Se há desenvolvedores na equipe, eles precisam aprender práticas seguras de desenvolvimento e garantir que seu código não tenha vulnerabilidades, em vez de depender de verificações de segurança apenas após o desenvolvimento.
Controles de segurança cibernética robustos deixaram de ser apenas “diferenciais” para as organizações. Em um mundo cada vez mais digital, nossa pegada virtual e dados pessoais são nosso ativo mais valioso. As organizações podem mitigar riscos seguindo os cinco princípios mencionados acima. Colocar esses princípios em prática, com forte apoio da liderança (CEO/CIO), e promover uma cultura de segurança compreendida e adotada por todos os funcionários ajudará a elevar a maturidade em segurança cibernética de qualquer organização.
Quando os líderes da organização colocam a segurança como prioridade, muitos conflitos de interesse são resolvidos e os riscos diminuem. A cibersegurança vai além da compra de tecnologia.
*Dario Goldfarb é Arquiteto de Soluções de Segurança da AWS Latam
