O Comitê Olímpico Brasileiro (COB) enfrentou durante essa semana a exposição de informações indevidas da estratégia de atuação da ginasta Rebeca Andrade, devido à publicação de um vídeo em suas redes sociais. O incidente reforça a narrativa das Lideranças de Cibersegurança sobre a necessidade de elevar ao máximo a cultura dos profissionais corporativos em relação à proteção de dados, abatendo os riscos vindos do erro humano.
No incidente, o COB divulgou em suas mídias sociais um vídeo da ginasta Rebeca Andrade nos treinos preparatórios para as Olimpíadas de Paris. Entretanto, a publicação causou uma crise com a Confederação de Ginástica do Brasil (CGB), pois ela mostrava Rebeca executando uma manobra que apenas seria divulgada como parte da coreografia pouco antes do evento, como forma de preservar a estratégia da ginasta.
A exposição, segundo a cobertura jornalística da participação brasileira nos Jogos, se deu em decorrência de problemas na gestão de contatos dos atletas de ginástica com o time de comunicação do COB, que possui acesso simplificado a esses treinos. Esse privilégio teria viabilizado o contato com informações que deveriam ser preservadas em prol do bom desempenho de Rebeca, mas que agora pode ter sido irremediavelmente comprometida.
Apesar de não ter sido decorrente de um ataque cibernético, o caso demostra para a Cibersegurança e seus Líderes que mesmo possuindo as tecnologias mais evoluídas de Segurança, a falta de políticas e controles estabelecidos por uma instituição podem levar ao florescimento de culturas ruins de proteção de dados, levando o fator humano a oferecer ainda mais riscos aos ativos vitais das organizações.
De acordo com o estudo da Proofpoint “O cenário de perda de dados em 2024”, o descuido dos usuários foi a causa mais citada por líderes para a perda de dados, de sorte que apenas 1% dos colaboradores podem ser responsáveis por 88% dos eventos que ocasionem perdas de dados. Como consequência, mais de 50% dos líderes entrevistados para essa pesquisa apontam que negócios foram interrompidos devido à perda das informações.
“94% dos profissionais de SI afirmaram que a maioria dos funcionários sabe que são responsáveis pela Segurança, mas, 53% dos funcionários pesquisados não tinham certeza ou alegaram que não eram responsáveis. Então, existe ainda uma desconexão entre ambos. Para mudar, é preciso mudar o mindset para estarmos mais atentos às responsabilidades de proteção dos nossos ambientes”, comentou Marcos Nehme, Diretor de Vendas da Proofpoint para o Brasil e México, em entrevista à Security Report.
O CISO Advisor, Rodrigo Jorge, reforça que há diferenças entre conscientização de Segurança e comportamento Seguro, baseadas nas incongruências entre o saber como agir, a intenção no momento de agir e a ação propriamente. Frequentemente as pessoas sabem o que fazer, mas desconhecem como agir na prática. Todavia, a conscientização se torna útil para direcionar essas ações em direção ao objetivo esperado pelos usuários e empresas.
“Nesses casos não há firewall, sistema de proteção, gerenciamento de patch, 2FA, entre outros. Isso confirma que o foco da Segurança Cibernética tem que ser no comportamento seguro do ser humano, o elemento mais importante dessa atividade, primeira e principal linha de defesa. Nesse caso, um erro interno de comunicação causou uma brecha e, consequentemente, um possível incidente capaz de dificultar a obtenção da medalha”, afirmou Jorge em suas mídias sociais.
Cultura centrada em pessoas
Nesse sentido, diversas empresas passaram a abraçar novos meios de compartilhar a responsabilidade na proteção dos ativos corporativos para os próprios usuários, incentivando o surgimento de uma cultura cibernética que modifique as ações das pessoas em suas atividades corporativas. Esse foi o caso do Grupo Boticário, cuja gestão da SI aproximou os colaboradores da estratégia de defesa.
“Cyber não está vencendo esse jogo, pois a percepção de Segurança está errada. Se os usuários estão sujeitos a acessar links maliciosos ou escrever linhas de código expostas, é necessário transformá-lo em parte da solução em vez do problema, emponderando-o com visibilidade sobre os riscos e tecnologias amigáveis aos seus padrões de conhecimento”, afirmou Marcelo Miola, durante painel de debates na TVSecurity.
Outro exemplo foi o do Tribunal Regional Eleitoral da Bahia, que buscou usar novos elementos tecnológicos, aliados a políticas de acesso mais robustas, para aplicar com mais solidez os princípios do Zero Trust. O case de sucesso, apresentado no Security Leaders Brasília, reforçou a importância de encarar a Cibersegurança como uma prioridade e um imperativo que transcendem segmentos de mercado.
“Na Justiça Eleitoral, opera-se com duas infraestruturas distintas: uma administrativa e outra específica para a totalização e votação. Nesse sentido, abordar os controles de acesso com MFA demonstrou ser uma solução coesa e de rápida integração, adaptando-se efetivamente aos sistemas internos do órgão”, disse Sidney Doria, Chefe da Seção de Infraestrutura Tecnológica do TRE-BA.
