Apesar do arrefecimento da pandemia de Covid-19, os desafios associados a esse período ainda estão sendo endereçados pelas organizações. E para segurança cibernética, 2021 não foi um ano fácil para as organizações desde organizações de saúde e indústria automobilística até varejo e utilidades. Ataques a infraestrutura crítica e a proteção da força de trabalho remota foram alguns dos principais aspectos que os times de segurança tiveram que lidar nos últimos anos. A adoção de tecnologias baseadas em nuvem, o 5G, a Internet das Coisas (sem esquecer da Internet das Coisas Industrial) e o Big Data também aumentaram significativamente a superfície de ataque que pode ser explorada por agentes maliciosos para realizarem suas ações contra as empresas.

Os ataques cibernéticos à SolarWinds, à JBS e ao Colonial Pipeline são alguns exemplos que provam a capacidade dos atacantes maliciosos de invadirem os ambientes e causarem danos às organizações. Já pagamentos de resgate de dados criptografados através de ataques de ransomware começaram a entrar nas discussões dos conselhos das empresas, e até a indústria de seguro entrou no mercado garantindo reparação em caso de prejuízos causados por ataques cibernéticos. Quem não lembra do ataque de malware que afetou a Maersk, que por muito tempo foi a maior empresa de logística do mundo? Mais de 49.000 computadores portáteis e 3.500 servidores foram inutilizados, além de mais de 1.200 aplicações que deixaram de operar. O time de segurança da informação da Maersk levou uma dezena de dias para reestabelecer o ambiente, no que se tornou o primeiro caso de organização a realizar uma engenharia reversa no malware.

Tudo isso fez com que segurança cibernética se tornasse um assunto presente não apenas nas salas de reunião e corredores das organizações (agora virtuais), mas também nas salas de jantar e reuniões familiares. De acordo com um estudo da KPMG, entre 2020 e 2021, a quantidade de CEOs que afirmaram que cibersegurança é a maior ameaça aos negócios quase dobrou. Uma consequência disso é que cada vez mais empresas vêm estabelecendo comitês exclusivamente para tratar do assunto segurança cibernética. Afinal, a questão não é mais se as empresas serão vítimas ou não de um ataque cibernético, mas quando. E esse “quando” tem acontecido com cada vez mais frequência. De acordo com um estudo da SonicWall, apenas os ataques de malware não sofreram variação para cima. Malware de IoT (+6%), tentativas de intrusão (+11%), ataques de cryptojacking (+19%), ataques de ransomware (+105%) e ameaças de criptografia (+167) tiveram tendência de alta no último ano.

Os governos também têm empregado crescentes esforços para proteger sua infraestrutura de ataques cibernéticos e vazamentos de dados. Nos Estados Unidos, por exemplo, o presidente Joe Biden emitiu em 2021 uma Ordem Executiva para a Melhoria da Cibersegurança, com previsão de investimento de mais de USD 2 trilhões com o objetivo de aumentar o nível de segurança cibernética do país. Para termos uma ideia, o investimento previsto para obras de engenharia nos Estados Unidos é de USD 1,2 trilhão. Além disso, países como a China e a Arábia Saudita procuraram aprovar leis de proteção de dados específicas, apertando o cerco contra empresas que não investem adequadamente em cibersegurança. 

Uma das formas que as empresas utilizam para aumentar o nível de segurança cibernética é através da adoção de ferramentas específicas. Essas ferramentas vão desde proteção de rede, como firewalls e proteção de acesso remoto até soluções de proteção de dados,  como DLPs e de Gestão de Acesso Privilegiado, ou PAM.

No entanto, vale lembrar que o aumento do nível de segurança da informação não depende apenas da implantação de soluções de cibersegurança. Garantir a proteção dos dados e da infraestrutura passa também por outros dois pilares: processos e pessoas. Inclusive Costuma é inútil investir no estado-da-arte em soluções de cibersegurança sem investir na definição e implantação de processos e sem treinar adequadamente as pessoas para detectar uma tentativa de ataque cibernético.

Implementar o primeiro desses pilares inclui a criação e aplicação de políticas, processos e procedimentos relativos à segurança da informação, além do investimento em consciência cibernética de funcionários e terceiros. A adequada implementação dos processos de cibersegurança auxilia a organização a estabelecer estratégias de prevenção, detecção e resposta, permitindo ao time agir de forma rápida e efetiva em caso de um incidente de segurança. Frameworks de cibersegurança como o Framework de Cibersegurança do NIST, os CIS Controls e a ISO 27001 fornecem diretrizes para a implementação de políticas adequadas de cibersegurança, aderentes a todo tipo e tamanho de negócio. 

Já a questão das pessoas leva em consideração a exploração do elo mais fraco nessa corrente. Isso porque os atacantes vêm utilizando métodos cada vez mais sofisticados para realizar suas ações, tendo como alvo colaboradores e até pessoal C-Level, como CEOs e CISOs. Para termos uma ideia, de acordo com o relatório 2021 Data Breach Investigations Report da Verizon, ataques de engenharia social representaram mais de um terço dos vazamentos de dados pesquisados, sendo que 85% dos ataques envolveram o aspecto humano. Para endereçar esse aspecto, os líderes de segurança.

As ameaças em cibersegurança não apenas vêm aumentando em quantidade, mas também em sofisticação. Assim, os times de segurança devem empregar as mais avançadas estratégias para garantir a proteção da infraestrutura e dos dados processados nos ambientes das organizações. Essas estratégias passam por três pilares: ferramentas, processos e pessoas. No entanto, endereçar apenas o aspecto ferramentas sem estabelecer políticas e treinar as pessoas não é suficiente para garantir a segurança do ambiente. Assim, é possível a organizações de diversos tipos e tamanhos e implementar estratégias adequadas em cibersegurança, acelerando o processo de transformação digital e reduzindo riscos cibernéticos e garantindo a continuidade dos negócios.