Sete passos para manter sua empresa em segurança

Nesse período, a transformação digital se acelerou nas empresas e mais pessoas intensificaram o uso de dispositivos conectados, nem sempre protegidos nos ambientes domésticos. “O cenário de ciberataques aqueceu, porque os criminosos sabem que as pessoas estão mais vulneráveis e isso é uma oportunidade para eles”, diz Zillo.

O impacto elevou a percepção do risco cibernético. No Relatório de Riscos Globais 2021 do Fórum Econômico Mundial, as falhas em segurança cibernética estão entre os riscos de maior probabilidade apontados para os próximos dez anos, ao lado das condições climáticas extremas e danos ambientais causados pelo homem, por exemplo.

Isso porque as lideranças já entenderam que os riscos cibernéticos estão diretamente relacionados a impactos nos negócios – da indisponibilidade ao dano para a reputação. “A resiliência cibernética é parte da resiliência operacional”, diz Vanessa Padua, diretora de cibersecurity para América Latina da Microsoft. Para se proteger, Vanessa recomenda aplicar uma estratégia de confiança zero (Zero Trust) nos sistemas. A Microsoft, inclusive, já reuniu série de dicas para implantar um modelo de confiança zero, confira aqui. “Todo acesso é monitorado, testado e revalidado por controles de segurança. Isso inclui a validação da identidade por fator duplo de autenticação [ou seja, além de se utilizar usuário e senha, é preciso uma confirmação adicional, como uma notificação no celular], além de sempre se verificar a saúde do dispositivo”, explica.

A seguir, confira os sete passos que os especialistas recomendam para navegar com segurança nesse novo cenário de ataques cibernéticos.

Passo 1: Entender o cenário
O primeiro passo é compreender quais são os riscos que a empresa corre, o nível de exposição e a superfície de ataque, ou seja, onde a empresa está conectada, as aplicações e portas de entrada. É importante pensar no ecossistema em que a empresa está conectada dentro da cadeia de fornecimento além de parceiros e colaboradores em modelo de trabalho híbrido. A indústria que adota dispositivos de Internet das Coisas também corre mais riscos. E, atenção: se existem dados, especialmente dados sensíveis, no ambiente de rede e aplicações, a empresa torna-se alvo desejado para os ataques de ransomware.

Passo 2: Mudar a mentalidade sobre cibersegurança
Se, no passado, era possível proteger os ambientes comprando tecnologia para blindar computadores, usuários e redes dentro das empresas. hoje é impossível proteger o negócio inteiramente. Em vez de pensar em evitar ser vítima de um ataque, é necessário se perguntar o quão resiliente o seu negócio está a um ataque cibernético, ou seja, quanto tempo se leva para detectar, responder e mitigar os danos.

Passo 3: Montar um bom time de cibersegurança
Se evitar um ataque é tarefa virtualmente impossível, é preciso ter um time preparado para responder ao incidente, tanto no nível da tecnologia quanto na resposta regulatória e de negócios. Esse é um passo desafiador no momento, uma vez que há falta de profissionais no mercado. O mais recente (ISC)² Cybersecurity Workforce Study, publicado este ano, apontou uma defasagem de 2,7 milhões de profissionais no mundo, em 2020, sendo mais de 400 mil no Brasil. Por isso, vale investir em preparar profissionais que vêm de outras áreas e formar uma equipe diversa e multidisciplinar.

Passo 4: Envolver a alta gestão
Cibersegurança deixou de ser um assunto só de tecnologia e passou a ser estratégico para o negócio. Ataques recentes mostram que podem causar disrupção operacional, causando impactos no funcionamento e na reputação da empresa. Assim, a liderança precisa adotar a nova mentalidade e conduzir as decisões em cibersegurança em diálogo com as áreas técnicas.

Passo 5: Investir continuamente
Não é mais possível fazer um determinado investimento e garantir a proteção dos sistemas da empresa. O cenário de ataques muda o tempo todo e, além disso, cada nova frente de negócio pode trazer riscos diferentes. É preciso ter investimentos de curto, médio e longo prazo e revisitar o plano estratégico de segurança regularmente – as grandes empresas o fazem, em média, a cada três anos.

Passo 6: Fazer a higiene cibernética
Aqui entram as ações básicas de segurança que precisam ser aplicadas diariamente, e que incluem: adoção de segundo fator de autenticação, análise e restrição de privilégios de acesso aos usuários, segmentação de rede, proteção dos dados armazenados, manutenção das atualizações dos sistemas operacionais e aplicações, implementação de tecnologias de detecção e resposta automática a ataques, realização de exercícios de ataque e defesa e ações de conscientização e treinamento dos usuários.

Passo 7: Usar os recursos da nuvem
O uso da nuvem pública proporciona que empresas pequenas, médias e grandes tenham o mesmo nível de segurança, desde que elas façam uso dos recursos de controles nativos para proteger os ambientes tradicionais, de usuários e na nuvem. Isso porque ela tem aplicação de inteligência artificial e machine learning para detectar comportamentos anômalos e ameaças.

Mas isso tudo é para o meu negócio?

Proteger as empresas ficou mais complexo, mas todos esses passos podem ser adotados por companhias de qualquer tamanho, mesmo as menores. “Com o uso da nuvem pública, hoje, as empresas pequenas, como uma startup, podem ter o mesmo nível de segurança de um grande banco. Além disso, ela tem a vantagem de poder investir mais tempo no trabalho de conscientização e ter resultados mais rapidamente”, avalia Zillo.