Ao longo de 2021 o Brasil sofreu mais de 88,5 bilhões (sim, bilhões) de tentativas de ataques digitais, o que corresponde a um aumento de 950% em relação a 2020, segundo um levantamento da Fortinet. Por isso, infelizmente, tem se tornado cada vez mais comum ler notícias sobre crimes cibernéticos contra empresas brasileiras, como os recentes incidentes com as Lojas Renner e as Lojas Americanas. A verdade é que esse tipo de crime acontece diariamente e impacta empresas de todos os tamanhos, não apenas aquelas que viram manchete.
Com um volume que corresponde a mais de 241 mil ataques por dia, os cibercriminosos não poupam Pequenas e Médias Empresas (PMEs), nem Startups. Pelo contrário: atacantes (hackers) agem seguindo uma lógica de “pesca de arrastão”, na qual automatizam o monitoramento de vulnerabilidades conhecidas e tentam explorar essas falhas de segurança na maior quantidade de empresas possível – independentemente do tamanho.
Se, de um lado, vemos um aumento exponencial dos ataques no Brasil, de outro, faltam profissionais capacitados para atuar na prevenção e mitigação desses eventos. Fica, então, a dúvida: como ter uma presença digital relevante, sem afetar a segurança do negócio?
Ainda que o cenário pareça desfavorável, existem atitudes que empresas de todos os tamanhos, com times de tecnologia de todos os portes, podem adotar para proteger os seus dados e evitar crimes cibernéticos:
1. CRIE UMA POLÍTICA DE SEGURANÇA SIMPLES
Assim como há um manual do funcionário, ou até mesmo um código de ética da empresa, a Política de Segurança da Informação é um importante documento que orienta os colaboradores e estabelece as diretrizes do ambiente de trabalho. O documento deve hierarquizar acessos aos ativos digitais da empresa, além de listar as boas práticas de Segurança para o dia a dia da organização.
A boa PSI é capaz de colocar a Segurança da Informação no dia a dia da empresa e, portanto, é vital para evitar vazamentos e incidentes, protegendo os pilares do seu negócio – sua Integridade, sua disponibilidade e sua Confidencialidade. O segredo para a criação de uma boa PSI é que ela seja feita unindo áreas técnicas e áreas de negócio para que seja simples, factível e jogue a favor da empresa e não contra. Por isso, ela deve levar em consideração a cultura e processos já estabelecidos.
2. TREINE O ELO MAIS FRACO: O COLABORADOR
Educar os colaboradores sobre boas práticas de cibersegurança é garantir que o seu time não abra a porta da frente para criminosos. Por exemplo: a maioria dos ataques de Ransomware acontece quando o usuário faz o download de um arquivo malicioso, capaz de sequestrar e criptografar dados de uma empresa. Em troca, os criminosos pedem um resgate. Esse foi o tipo de ataque mais utilizado pelos russos contra a Ucrânia para acessar informações sensíveis de empresas e órgãos públicos visando ganhar vantagem no conflito iniciado recentemente.
Ensinar os colaboradores a reconhecer e-mails e arquivos maliciosos é um importantíssimo passo. Outro ponto crucial é ensiná-los sobre a criação de senhas fortes, capazes de dificultar a vida dos atacantes. Por último, é importante conscientizar os times sobre o uso de e-mails corporativos apenas em sistemas da empresa. É comum que atacantes vazem bancos de dados de sites terceiros repletos de logins e senhas de empresas. Se por acaso um colaborador se registrar em um desses sites utilizando este e-mail, os cibercriminosos terão acesso à credencial da empresa e – muito provavelmente – a uma senha, que tem grandes chances de ser a mesma utilizada em sistemas da empresa. Assim, a porta da frente da sua empresa fica exposta.
3. ASSEGURE QUE VOCÊ TEM MAPEADO TODOS OS ATIVOS DIGITAIS DA SUA EMPRESA
É considerado um ativo digital todo e qualquer componente, físico ou não, que constitui a infraestrutura de tecnologia de uma empresa: domínios, subdomínios, servidores, aplicações web, serviços de cloud e máquinas virtuais são alguns exemplos de ativos.
Cada ativo desses pode apresentar centenas de vulnerabilidades. Pense nelas como portas de entradas a serem exploradas por um atacante. Não ter em vista todos os ativos digitais da sua empresa cria pontos cegos que aumentam significativamente a sua superfície de exposição – termo que se refere à soma de todos os riscos de cibersegurança que expõem o seu negócio. Sabe aquela landing page que a sua área de Marketing criou para uma promoção que já acabou, mas que continua no ar? Então, conhecer a sua estrutura é saber onde a sua empresa está exposta. Existem algumas soluções de mercado com preços acessíveis, como por exemplo a Unxpose, que faz esse tipo de monitoramento de forma contínua e automatizada.
4. BACKUP
Hoje em dia é até difícil achar uma empresa que não dependa de dados, sejam eles planilhas de controles de gastos, ERPs que gerenciam a operação, ou banco de dados que contém informações sobre os clientes. Além de buscar proteger esses dados, é necessário criar rotinas recorrentes de backups para garantir que, em caso de problemas, os dados não sejam perdidos.
E, talvez, mais importante do que guardá-los, é garantir que o processo de recuperação desses backups também esteja funcionando. Ou seja, além de realizar os backups, é importante testar as rotinas de restauração para garantir que todos os arquivos estão sendo salvos corretamente. Com a rotina de restauração você poderá restabelecer a operação e diminuir os prejuízos.
5. TENHA UM PLANO DE INCIDENTE
Um plano de incidente traça a estratégia capaz de fazer a sua empresa ter o menor impacto possível no caso de um incidente. Em outras palavras: ele limita os danos de um ataque e é capaz de reduzir o tempo e os custos da resposta.
Ter um plano consistente é capaz de preservar a confiabilidade na sua empresa por parte de clientes e investidores, pois é prova de diligência. Além disso, ter uma resposta ágil e estruturada significa zelar pelo resultado da empresa. Um incidente pode trazer perdas financeiras, seja na forma de um impacto negativo nas ações, seja na forma de um pedido de resgate de dados sequestrados ou mesmo na perda de dados de capital intelectual e segredos industriais com os quais a empresa faz negócios. Um plano de incidente pode ajudar a mitigar esses danos.
6. NA AUSÊNCIA DE UM TIME DE SEGURANÇA, AUTOMATIZE
Cibersegurança não é um projeto, mas uma jornada contínua. À medida que a sua empresa cresce, a sua superfície de exposição a ataques expande junto. Segundo um estudo da organização sem fins lucrativos (ISC)², o Brasil tem um dos maiores déficits de profissionais de segurança no mundo. A boa notícia é que já existem soluções capazes de automatizar o trabalho de um time de segurança, atuando desde a descoberta de ativos digitais expostos a ataques até a identificação, priorização e correção de vulnerabilidades. No Brasil, a Unxpose é exemplo de SaaS que funciona como um time de segurança para quem não tem um, ou como braço adicional para quem já tem. Automatizar processos de segurança é uma saída econômica e eficiente.
Por Josemando Sobral