De acordo com relatório da Netscout Systems, empresa de soluções de cibersegurança, o Brasil foi o principal alvo de ataques cibernéticos da América Latina em 2023, com o registro total de 328.326 ataques. Este número foi ainda maior que o observado em 2022, quando o Brasil também liderou as estatísticas na América Latina. Ao analisar estes dados, torna-se óbvia a urgência de trazer abordagens mais robustas de cibersegurança nas empresas. O artigo abaixo fala sobre a importância da cultura de segurança e do desenvolvimento seguro para a proteção de dados e a integridade da reputação de uma empresa.
Cultura de segurança cibernética e desenvolvimento seguro como resposta a ataques cibernéticos
Segundo o Núcleo de Informação e Coordenação do Ponto BR, o resultado de uma pesquisa sobre segurança digital no Brasil indica que pouco mais de 40% de organizações de pequeno, médio e grande porte possuem algum tipo de política de segurança digital. Dado o aumento de ataques cibernéticos nos últimos anos e a falta de preparo por parte das empresas, é evidente que uma política deve ser implementada nas empresas para orientar todos os funcionários sobre quais ações tomar para os prevenir de forma proativa ou então para atenuar suas consequências, tanto para o cliente quanto para a empresa como um todo.
Em uma entrevista à Security Report, o Gerente de Arquitetura e Engenharia de Cyber Security na B3, Guilherme Lima, afirma que o primeiro passo para contar com projetos seguros é garantir que uma cultura de segurança robusta esteja sedimentada em toda a cadeia de criação de um produto e não só na equipe de desenvolvedores. Nesse sentido, construir uma cultura de segurança em uma empresa exige algumas etapas de conscientização, como por exemplo, entender os riscos que sua empresa está exposta diariamente. É crucial que todos os funcionários entendam seu papel e sua responsabilidade sobre a segurança de dados sensíveis dos clientes e evitar potenciais violações de segurança que podem resultar em sérias consequências legais e financeiras.
A implementação da Lei Geral de Proteção de Dados (LGPD) impõe consequências significativas para empresas que violam as normas de segurança de dados, com multas que podem chegar a 50 milhões de reais ou 2% de seu faturamento anual. O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, que inspirou a LGPD, já chegou a multar a Amazon em mais de 600 milhões de libras esterlinas por violações de dados.
Manter a segurança dos dados não é apenas uma obrigação legal, mas também uma medida crucial para proteger a reputação da marca e a confiança dos clientes. Os clientes estão dispostos a fazer negócios com empresas que passem confiança, especialmente quando se trata da segurança de seus dados. Qualquer violação a esses dados deteriora a reputação da empresa e pode fazer com que os consumidores abandonem completamente a empresa, além de influenciar negativamente nas vendas e na participação no mercado.
Nesse sentido, a adoção de processos mais seguros garante o cumprimento de regulamentações e a eficiência operacional, enquanto reduz os riscos financeiros e legais associados a possíveis violações de segurança. Trata-se de um investimento estratégico que não pode ser negligenciado nas operações empresariais modernas. A imagem abaixo mostra o ciclo de riscos de negócios baseados em informação de forma objetiva:
É importante ter ciência que, por maior que sejam os investimentos em ferramentas e técnicas de proteção robustas, nenhum ambiente é impenetrável. Portanto, ao assumir esta vulnerabilidade, é mais do que urgente estar preparado para este momento e para as consequências que isso trará. Não adianta focar apenas em bons equipamentos de segurança e no desenvolvimento de fluxos seguros, se a empresa não possui uma cultura de segurança de informação bem sedimentada.
Para isso, é preciso adotar um conjunto de medidas que envolvem todos os funcionários, de todos os times e setores. É necessário fornecer estruturas e orientação para todos, ao mesmo tempo em que devem ser criadas políticas com regras e configurações integradas à realidade dos profissionais para criar um ambiente mais seguro.
Para estruturar um plano de ação conveniente para a situação da sua empresa, crie métricas e documente as políticas de segurança. Dessa forma, fica mais fácil identificar os pontos fracos e assim criar estratégias que irão beneficiar os processos internos. Quando esse plano é implementado, o atrito entre cada time diminui e, com o tempo, nota-se a melhoria da qualidade e o aumento da eficiência.
Implementar uma cultura de segurança cibernética requer um comprometimento organizacional sólido e um plano estratégico bem definido. As etapas-chave para colocar essa cultura em prática são:
- Educação: A falta de conhecimento sobre processos tecnológicos pode deixar os colaboradores vulneráveis a ameaças ocultas em sites, e-mails e arquivos maliciosos. É essencial compreender sobre ataques como Phishing, Ransomware e Malware, bem como suas principais formas de infiltração em uma empresa, para que sejam adotadas medidas eficazes para lidar com essas ameaças.
- Políticas de Segurança: com base em métricas e planos de ação traçados conforme as necessidades da empresa, é crucial implementar diretrizes abrangentes em toda a organização. Essas políticas englobam desde a entrada até a saída de dados, garantindo um fluxo de informações mais seguro e protegido contra ameaças.
- Treinamento: uma vez que houve a tentativa de um ataque, bem-sucedido ou não, é preciso saber quais ações tomar imediatamente, bem como quais mecanismos acionar para mitigar os impactos gerados por esse ataque. Uma resposta ágil não só protege a empresa, como também tranquiliza os clientes.
A política de desenvolvimento seguro é fundamental para cultivar uma cultura de segurança na empresa. Educar a equipe de desenvolvimento envolve oferecer treinamentos para que compreendam os princípios básicos de segurança, incluindo a identificação de vulnerabilidades comuns em sistemas e a adesão às melhores práticas de segurança. Alguns dos principais aspectos que podem ser abordados para proteger os dados nos sistemas de desenvolvimento incluem técnicas como criptografia, tokenização, anonimização e ofuscação de dados.
A adoção de ferramentas de segurança, como scanners de vulnerabilidade e análise estática de código ajuda a identificar problemas de segurança durante o desenvolvimento. De forma semelhante, as ferramentas de gerenciamento de informações e eventos de segurança (SIEM) permitem às organizações coletar, correlacionar e analisar eventos de segurança em tempo real a partir de várias fontes, como firewalls, sistemas de detecção de intrusão e logs de servidores e aplicativos. O principal objetivo do SIEM é, então, fornecer visibilidade em tempo real sobre eventos de segurança em toda a rede, correlacionando estes eventos para identificar possíveis ameaças e auxiliar na resposta a incidentes de segurança.
Embora o SIEM não seja uma ferramenta que auxilie de forma direta o desenvolvimento de software, ela pode ser utilizada por equipes de desenvolvimento para garantir que os aplicativos e sistemas desenvolvidos tenham funcionalidades de segurança adequadas, desempenhando, assim, um papel importante na segurança da infraestrutura de TI de uma empresa. Integrar a segurança em todas as fases do ciclo de vida do desenvolvimento de software significa que a segurança não é uma consideração apenas no final do desenvolvimento, mas sim desde o início. Adotar requisitos de codificação segura, revisões de código, processos de avaliações de risco e testes de segurança contínuos garantem que as aplicações sejam seguras mesmo após o lançamento.
Em conclusão, a segurança cibernética é um aspecto fundamental em qualquer ambiente empresarial e não deve mais ser algo a ser considerado apenas no final dos processos ou em casos de emergências. Uma organização confiável para o cliente deve estar completamente protegida contra ameaças cibernéticas, com membros conscientes sobre suas responsabilidades e ações de contenção de danos, e para que isso seja alcançado, o plano de ação deve envolver desde a implementação de políticas e treinamentos adequados até a utilização de ferramentas especializadas em segurança. Investir em segurança cibernética não é apenas uma medida preventiva, mas uma estratégia indispensável para o sucesso no mundo digital!
E aí, o que achou desse tema? 🙂 Nos acompanhe no Instagram: @ijunior_ufmg
🛬 Referências
https://www.eboxdigital.com.br/blog/seguranca-cibernetica-5-formas-de-proteger-a-empresa-de-ataques
https://eximia.co/insights/como-construir-uma-cultura-de-ciberseguranca-na-sua-empresa