No dia 30 de novembro, comemora-se o Dia Internacional da Segurança em Informática. A data foi criada como consequência do primeiro caso de propagação de malware pela rede de que se tem registro, ocorrido em 1988, que afetou 10% das máquinas ligadas à internet naquele tempo. O objetivo é ampliar a conscientização sobre as questões de segurança da informação e incentivar as pessoas a protegerem os dados armazenados e trafegados no ambiente digital.
De acordo com a pesquisa PwC's 2024 Global Digital Trust Insights, os incidentes de segurança cibernética estão aumentando em número, escala e custo – 36% dos respondentes da pesquisa deste ano relataram custos superiores a US$ 1 milhão pelo pior evento sofrido, contra 27% que expuseram o mesmo no ano passado.
Os prejuízos financeiros exorbitantes, as falhas nas operações de negócios e os danos reputacionais refletem a necessidade crescente de a segurança cibernética ser tratada como uma prioridade estratégica das empresas.
Aproveitando a data de conscientização e o final do ano, vale descrever as principais tendências na área da segurança cibernética previstas para 2024.
Inteligência Artificial (IA) atuando no ataque e na defesa
Os ciberataques utilizarão a IA em sua crescente sofisticação, por exemplo, mediante a adoção de técnicas novas e emergentes de engenharia social, como áudios e vídeos deepfake, e malwares automatizados.
Do outro lado, os profissionais de segurança cibernética deverão aproveitar-se da própria IA para detectar e responder às ameaças de forma eficaz, identificando anomalias em tempo real, implementando a autenticação inteligente e promovendo respostas automatizadas a incidentes.
Persistência dos ataques ransomware
Após uma queda no volume detectado em 2022 de ataques ransomware ? malware que sequestra um banco de dados e exige o pagamento pelo resgate ?, em 2023, eles voltaram a crescer em disparada.
Medidas robustas de cibersegurança, atualização constante de backups e treinamentos a empregados serão fundamentais para que as organizações evitem ou mitiguem os impactos de tais ataques.
Novas normas
São previstas publicações de novas normas sobre segurança cibernética para setores específicos, como aquelas destinadas a instituições financeiras e de meios de pagamento.
Ainda, consta na agenda da Autoridade Nacional de Proteção de Dados (ANPD) de 2024 a regulamentação de medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança) a serem adotadas por agentes de tratamento de dados pessoais. De acordo com a Lei Geral de Proteção de Dados (LGPD), tais agentes devem adotar medidas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Assim, espera-se que a ANPD edite regulamento descrevendo os padrões técnicos mínimos exigidos, considerando a natureza dos dados tratados, as características específicas do tratamento e o estado atual da tecnologia.
Erro humano
Ano após ano, pesquisas mostram que parte relevante de incidentes de segurança da informação são ocasionados por falhas humanas. As ameaças internas, sejam intencionais ou acidentais, continuarão sendo uma preocupação significativa em 2024. As organizações devem concentrar-se no treinamento de seus profissionais e adotar ferramentas para a detecção e mitigação de riscos envolvendo erros humanos, inclusive contando com sistemas de IA que analisam comportamentos para identificar atividades incomuns em sistemas e redes.
Segurança da informação no trabalho remoto
O home office teve um grande aumento de popularidade devido à pandemia de COVID-19, gerando os, agora, já conhecidos desafios para a segurança cibernética. Considerando que o teletrabalho segue bastante ativo, as organizações precisarão, em 2024, continuar garantindo que as suas plataformas e os seus procedimentos para a prestação remota de serviços são seguros.
Riscos na cadeia de suprimentos
Considerando que, cada vez mais, as empresas estão conectadas com o ambiente digital de seus fornecedores, torna-se essencial que haja atenção quanto às medidas de segurança cibernética de toda a cadeia. Isso porque, caso um fornecedor sofra um incidente de segurança da informação, toda a rede conectada poderá ser comprometida.
É necessário, assim, fazer avaliações criteriosas de fornecedores, conduzir treinamentos e adotar políticas conjuntas para evitar, detectar e mitigar riscos envolvendo incidentes.
Escassez de força de trabalho especializada
A escassez de profissionais com expertise em segurança da informação segue sendo um grande desafio para todos os setores. As organizações precisarão investir no treinamento e na retenção de talentos na área e/ou terceirizar suas demandas para profissionais especializados no assunto.
Em conclusão, o ano de 2024 promete desafios e oportunidades na área da segurança cibernética. Aproveitando a data de 30 de novembro, valem a conscientização sobre a proteção de dados e a preservação da privacidade, a atualização das medidas técnicas de segurança da informação, o fortalecimento de defesas baseadas em IA e a exigência de segurança da cadeia de suprimentos. O futuro da segurança cibernética deve ser enfrentado com conhecimento, vigilância, cuidado e inovação, a fim de protegermos não apenas as nossas organizações, mas também o cenário digital em geral.
Luiza Sato e Sofia Kilmar, sócias da área de Cybersecurity & Data Privacy de TozziniFreire Advogados.