Publicação indevida de vídeo do COB reascende debate sobre fator humano na proteção de dados

Nessa semana, o Comitê Olímpico do Brasil viu abrir uma crise interna com a Confederação de Ginástica nacional, ao publicar um vídeo nas redes sociais que expunha a estratégia planejada por uma das atletas. Apesar de não ter sido causado por um incidente cibernético, CISOs e líderes de Segurança apontam este como um exemplo de como o fator humano pode ser a causa raiz de muitos casos de exposição de informações

Compartilhar:

O Comitê Olímpico Brasileiro (COB) enfrentou durante essa semana a exposição de informações indevidas da estratégia de atuação da ginasta Rebeca Andrade, devido à publicação de um vídeo em suas redes sociais. O incidente reforça a narrativa das Lideranças de Cibersegurança sobre a necessidade de elevar ao máximo a cultura dos profissionais corporativos em relação à proteção de dados, abatendo os riscos vindos do erro humano.

 

No incidente, o COB divulgou em suas mídias sociais um vídeo da ginasta Rebeca Andrade nos treinos preparatórios para as Olimpíadas de Paris. Entretanto, a publicação causou uma crise com a Confederação de Ginástica do Brasil (CGB), pois ela mostrava Rebeca executando uma manobra que apenas seria divulgada como parte da coreografia pouco antes do evento, como forma de preservar a estratégia da ginasta.

 

A exposição, segundo a cobertura jornalística da participação brasileira nos Jogos, se deu em decorrência de problemas na gestão de contatos dos atletas de ginástica com o time de comunicação do COB, que possui acesso simplificado a esses treinos. Esse privilégio teria viabilizado o contato com informações que deveriam ser preservadas em prol do bom desempenho de Rebeca, mas que agora pode ter sido irremediavelmente comprometida.

 

Apesar de não ter sido decorrente de um ataque cibernético, o caso demostra para a Cibersegurança e seus Líderes que mesmo possuindo as tecnologias mais evoluídas de Segurança, a falta de políticas e controles estabelecidos por uma instituição podem levar ao florescimento de culturas ruins de proteção de dados, levando o fator humano a oferecer ainda mais riscos aos ativos vitais das organizações.

 

De acordo com o estudo da Proofpoint “O cenário de perda de dados em 2024”, o descuido dos usuários foi a causa mais citada por líderes para a perda de dados, de sorte que apenas 1% dos colaboradores podem ser responsáveis por 88% dos eventos que ocasionem perdas de dados. Como consequência, mais de 50% dos líderes entrevistados para essa pesquisa apontam que negócios foram interrompidos devido à perda das informações.

 

“94% dos profissionais de SI afirmaram que a maioria dos funcionários sabe que são responsáveis pela Segurança, mas, 53% dos funcionários pesquisados não tinham certeza ou alegaram que não eram responsáveis. Então, existe ainda uma desconexão entre ambos. Para mudar, é preciso mudar o mindset para estarmos mais atentos às responsabilidades de proteção dos nossos ambientes”, comentou Marcos Nehme, Diretor de Vendas da Proofpoint para o Brasil e México, em entrevista à Security Report.

 

O CISO Advisor, Rodrigo Jorge, reforça que há diferenças entre conscientização de Segurança e comportamento Seguro, baseadas nas incongruências entre o saber como agir, a intenção no momento de agir e a ação propriamente. Frequentemente as pessoas sabem o que fazer, mas desconhecem como agir na prática. Todavia, a conscientização se torna útil para direcionar essas ações em direção ao objetivo esperado pelos usuários e empresas.

 

“Nesses casos não há firewall, sistema de proteção, gerenciamento de patch, 2FA, entre outros. Isso confirma que o foco da Segurança Cibernética tem que ser no comportamento seguro do ser humano, o elemento mais importante dessa atividade, primeira e principal linha de defesa. Nesse caso, um erro interno de comunicação causou uma brecha e, consequentemente, um possível incidente capaz de dificultar a obtenção da medalha”, afirmou Jorge em suas mídias sociais.

 

Cultura centrada em pessoas

Nesse sentido, diversas empresas passaram a abraçar novos meios de compartilhar a responsabilidade na proteção dos ativos corporativos para os próprios usuários, incentivando o surgimento de uma cultura cibernética que modifique as ações das pessoas em suas atividades corporativas. Esse foi o caso do Grupo Boticário, cuja gestão da SI aproximou os colaboradores da estratégia de defesa.

 

“Cyber não está vencendo esse jogo, pois a percepção de Segurança está errada. Se os usuários estão sujeitos a acessar links maliciosos ou escrever linhas de código expostas, é necessário transformá-lo em parte da solução em vez do problema, emponderando-o com visibilidade sobre os riscos e tecnologias amigáveis aos seus padrões de conhecimento”, afirmou Marcelo Miola, durante painel de debates na TVSecurity.

 

Outro exemplo foi o do Tribunal Regional Eleitoral da Bahia, que buscou usar novos elementos tecnológicos, aliados a políticas de acesso mais robustas, para aplicar com mais solidez os princípios do Zero Trust. O case de sucesso, apresentado no Security Leaders Brasília, reforçou a importância de encarar a Cibersegurança como uma prioridade e um imperativo que transcendem segmentos de mercado.

 

“Na Justiça Eleitoral, opera-se com duas infraestruturas distintas: uma administrativa e outra específica para a totalização e votação. Nesse sentido, abordar os controles de acesso com MFA demonstrou ser uma solução coesa e de rápida integração, adaptando-se efetivamente aos sistemas internos do órgão”, disse Sidney Doria, Chefe da Seção de Infraestrutura Tecnológica do TRE-BA.

 

Conteúdos Relacionados

Security Report | Destaques

Pedro Nuno explora as vantagens do Outsourcing de SI em novo livro

O CISO da Valid fala com exclusividade à Security Report sobre o lançamento do seu livro, que traz uma análise...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo a Netshoes, a Usina Alta Mogiana, a ValeCard, a Metalfrio, a...
Security Report | Destaques

Apagão Cibernético: empresas estimam os impactos da crise

CrowdStrike e Microsoft detectaram ainda no fim de semana que ao menos 8,5 milhões de devices foram atingidos pela pane...
Security Report | Destaques

Apagão Cibernético traz lição sobre vulnerabilidade da cadeia global

A crise desencadeada pela falha na atualização do ambiente CrowdStrike mostrou como a hiperdependência de sistemas digitais pode levar a...