A primeira ideia que temos sobre segurançacibernética é aquela relacionada a ataques que ocorrem na internet, principalmente com vírus que invadem computadores. Mas, no Learning Village, Sandoval Martins, especialista neste assunto, dedicou seu tempo aos conselheiros presentes para quebrar estas ideias um tanto quanto equivocadas.
Em sua primeira fala, Sandoval destacou que cyber security está atrelado a segurança da informação e gestão de risco em uma organização. Não se trata apenas de questões apenas do mundo virtual.Na verdade, as construções de comunicação das empresas são a maior fonte de preciosidade, desde seu armazenamento até seus processos mais sutis de troca de informações.
Por isso, o maior desafio deste momento é combater a ideia de que não é apenas um problema tecnológico: se trata de entender os riscos nas incertezas de uma empresa e suas exposições.
Com incertezas, Sandoval destaca que vai haver sim vulnerabilidades nos sistemas que estão instaurados. Constantemente, os controles que estão sendo utilizados para governança, desde celulares e e-mails até credenciais, precisam ser testados e verificados.
Ao mesmo tempo, é preciso conhecer as ameaças que podem atingir uma empresa e isso é uma gestão de informação de preocupação externa, dado os cenários mundiais de acesso em Dark Webs e diferentes maneiras de conexão no mundo atual.
Em relação às exposições, o especialista em segurança cibernética se atenta aos riscos que passamos de possíveis perdas. Por isso, mesmo criando backups das informações, é necessário agir preventivamente e diagnosticar os principais pontos da empresa, protegê-los e garantir o essencial.
É nesta análise de governança do risco que você precisa entender onde mitigar o erro, aceitar a situação e transferir algumas ações para prevenção. Entender este processo é passar a gerir o risco e coibir questões que podem ser muito danosas.
Quebrando mitos e barreiras mentais sobre cyber security
Sandoval Martins revelou alguns pensamentos do senso comum que, de uma maneira sutil, colocam limites ao cuidado relacionado a segurança cibernética. Para o especialista, o cuidado muitas vezes não é preventivo e isso pode causar impactos colossais nas empresas. Por isso, segundo Sandoval “é melhor falarmos disso agora e trazer clareza para as situações que podem vir a acontecer”.
Além disso, Sandoval aproveitou para endereçar mitos comumente atrelados à segurança cibernética, como os listados abaixo.
Mito um: é um tema apenas de tecnologia ou área de TI
O especialista retoma este ponto para colocar luz na discussão e deixar clara a necessidade de atrelar a segurança cibernética a todos os processos de governança da empresa, principalmente ser pauta de um conselho. Todo este cuidado é atrelado a tecnologia, que está cada vez mais presente em nossa experiência e há necessidade de ficar extremamente atento a isso.
Mito dois: o que acontece são apenas roubos de dados e de créditos
Não é apenas isso. Se trata de transações de informações, de processos monetários e comunicações com diferentes partes do mundo. Além disso, códigos são discutidos em rede e feitos em computadores conectados globalmente. A amplitude dessa problemática precisa da atenção de toda a organização e de suas diretrizes.
Mito três: o crime cibernético está reduzindo
Isso é a maior falácia que Sandoval colocou em discussão. É um processo extremamente circular. Os tipos de ataques físicos não acontecem, porém, cada atualização, transformação e serviços que são mudados, abrem portas para novas possibilidades e outros cuidados precisam ser tomados. Hoje normalmente o crime cibernético ocorre com falsificações de dados, por exemplo, com credenciais de sistemas.
Mito quatro: isso não nos afeta no dia a dia
Para o especialista, este ponto é crucial: é preciso entender que, como a segurança cibernética precisa ser parte da operação de governança completa, nosso dia a dia é composto por inúmeras trocas de informações, confidenciais ou não, que correm risco de ataques.
“Não há mais espaço para deixar apenas uma reunião semestral para falarmos sobre isso. Cyber security precisa ser uma diretriz da empresa”, completou Sandoval Martins.
Cada produto novo, aplicação, desenvolvimento, erro de código e atualizações práticas do dia a dia exigem este tipo de cuidado. Testes precisam ser feitos constantemente e é necessário ter várias e diferentes análises do que está ocorrendo dentro da organização.
Mito cinco: novas tecnologias irão resolver os problemas de cyber security
Não é algo que necessariamente vá acontecer.
A cada inovação existem milhões de pessoas que tentam burlar as situações. Sempre cresce o número de pessoas que estão envolvidas nestas falhas de segurança, porque é um mercado que circula muito dinheiro, por conta das sabotagens, recuperação de informação e outros processos da Dark Web.
Afinal, é uma disrupção: uma transformação dos processos e, por consequência, uma nova necessidade de proteção. Por isso, é necessário que o cuidado aumente mais ainda.
Mito seis: Cyber ataques tem soluções simples
Sandoval olhou e riu para todos os conselheiros presentes ao falar desse mito. O costume das empresas é achar que o backup sempre é uma solução. Mas não funciona com esta facilidade.
Toda essa estratégia precisa ser preventiva e o trabalho de prevenção precisa ser grandioso: desde monitorar a Dark Web, conhecer suas vulnerabilidades e fazer testes sobre seus processos de segurança.
O NIST como seu melhor amigo
Quando falamos sobre cyber security, Sandoval Martins aconselhou os conselheiros a trazer o framework NIST como seu parceiro de governança nas organizações.
Este modelo se trata de aplicar processos cíclicos que precisam acontecer. Começando pela identificação dos principais pontos de uma organização e fazer testes de vulnerabilidade para entender quais podem ser as brechas em ataques cibernéticos.
Depois deste diagnóstico, a principal arma é proteger. O ideal, segundo o especialista, é trazer um modelo de multicamadas e que saiba dar avaliações sobre sua própria proteção.
Em paralelo, é necessário continuar detectando no dia a dia. Os problemas precisam ser olhados e estar atenta às vulnerabilidades. Além disso, montar um plano de resposta é crucial.
Por fim, caso nenhuma das prevenções dê certo, é preciso criar uma recuperação contínua com backups diários e que sejam parte comum do dia a dia. Caso as respostas não funcionem, o impacto não será tão grandioso.
