Perfil da segurança digital mudou na pandemia
Considerar o fator humano ao lado da tecnologia precisa ser prática cotidiana nas empresas
Não há dúvidas de que a alta tecnologia e os investimentos certeiros em sistemas de proteção são essenciais no combate ao crime digital, mas o fator humano também é uma parte fundamental das boas políticas contra o cibercrime. De acordo com o Fórum Econômico Mundial, 95% dos incidentes de segurança cibernética ocorrem devido a erro humano.
"A pessoa é a última barreira de segurança da informação - pode ser a maior fortaleza ou a maior fragilidade da organização", afirma Matheus Jacyntho, diretor de Cibersegurança da Protiviti, empresa especializada em segurança de dados. "Mesmo que uma empresa invista pesadamente em tecnologias, os seres humanos ainda podem causar fragilidades nos sistemas de informação, porque são propensos a erros como clicar em links maliciosos, digitar senhas inseguras e fornecer informações pessoais a terceiros não autorizados."
A adoção praticamente "forçada" do trabalho remoto com a pandemia exigiu um rápido movimento de empresas de soluções de cibersegurança e áreas de Tecnologia da Informação. Com uma maior distribuição de dispositivos e colaboradores, inclusive fora das empresas, o aumento das vulnerabilidades ficou cristalino.
"Na medida em que cargas de trabalho, devices e usuários estão mais distribuídos, especialmente com a adoção de práticas como o 'bring your own device' (traga/trabalhe com seu próprio dispositivo), home office e modelo híbrido de trabalho, o mercado viu crescer a demanda por acesso direto e seguro a aplicações e informações na nuvem a partir de qualquer lugar, sem um perímetro definido", observa Mário Rachid, diretor executivo de Soluções Digitais da Embratel.O ato contínuo desse processo, segundo Ueric Melo, especialista em cibersegurança e privacidade da Genetec para a América Latina, foi a adoção da política do "princípio do menor privilégio" dentro das práticas de segurança digital. "Um colaborador ou dispositivo não deve ter acesso a nenhum recurso ou ambiente que não seja necessário para realização de suas atividades", diz o especialista.
A nova prática que vem ganhando espaço neste cenário é a Zero Trust Access Network (Acesso à Rede 'Zero Trust', ZTNA). É a política de cibersegurança de crescimento mais rápido no mundo, de acordo com o relatório do Gartner.
Por essa medida, a identidade de acesso está sujeita a um extenso processo de autenticação que considera o usuário, dispositivo, contexto e risco. Políticas e privilégios dinâmicos são então concedidos à chamada identidade, provendo acesso limitado a recursos autorizados, condicionados e baseados no contexto e na tolerância a riscos definidos pela organização.
De acordo com Marcos Tabajara, country manager para o Brasil da Appgate, empresa de acesso seguro, é uma política que ajuda a superar vulnerabilidades criadas por soluções desatualizadas. Além de minimizar riscos associados ao acesso excessivo de funcionários e terceiros. A ZTNA é eficaz em reduzir drasticamente as superfícies de ataque, segundo os especialistas da área.
"Para se manter competitivas, as organizações devem investir continuamente em iniciativas de nuvem, IoT, IA e automação. Mas é um investimento que se torna arriscado quando a cibersegurança não é levada em consideração", explica o executivo. "A adoção do ZTNA é um passo crucial", afirma Tabajara.
Comunicação instável
Um pouco negligenciados, os protocolos de comunicação interna também são essenciais para uma política de cibersegurança robusta, afirma Carlos Gajardoni, CEO da NetSecurity. "Uma das falhas mais críticas que podem haver é a incomunicabilidade entre a área de segurança da informação da empresa e os executivos dos demais setores. É um problema em potencial quando não se consegue levar ao conhecimento dos stakeholders os riscos aos quais a empresa está exposta e o quanto isso pode impactar no negócio", aponta o executivo.
Segundo Gajardoni, a falta de correção de rumo em termos de comunicação pode gerar consequências muito graves. "Se houver brechas na segurança cibernética, as perdas podem ser incalculáveis, não apenas no sentido financeiro, o que por si só já é péssimo, mas também na reputação de uma empresa, que tem como consequência imediata a perda de clientes."
Líderes de TI se sentem vulneráveis
O temor de sofrer um ataque cibernético de grandes proporções é real entre os especialistas em cibersegurança e entre os "C-levels" (executivos), de acordo com o Global Cybersecurity Outlook, relatório divulgado no Fórum Econômico Mundial 2023, em Davos (Suíça).
A pesquisa revelou que 93% dos especialistas em cibersegurança e 86% dos líderes acreditam que teremos um ataque cibernético de nível catastrófico nos próximos dois anos, inclusive por conta da atual instabilidade geopolítica global.
Outro estudo confirmou essa percepção: o Veeam Data Protection Trends Report 2023, realizado pela Veeam, empresa norte-americana especializada em backups e recuperação de desastres, mostra como as empresas desafiadas por ambientes de TI híbridos mais complexos estão aumentando os orçamentos para evitar ataques cibernéticos. O que se traduz em uma maior sofisticação por parte das equipes de TI, que também se espalham cada vez mais por diferentes ambientes das companhias.