Segundo relatório da CompTIA, nove em cada 10 organizações brasileiras sofreram violações de cibersegurança nos últimos anos, sendo a maioria considerada grave. A qualidade e visibilidade dos dados são mais importantes que o seu volume. Saber a origem, forma de recolhimento e os filtros de segurança utilizados são cruciais para a precisão e confiabilidade destas informações.
O tema foi debatido no painel “Por que é difícil garantir a segurança dos dados?”, no segundo dia da 3ª edição do Data Management Forum, nesta quarta-feira, 1, promovido pela TI INSIDE
Conforme explicou Fabio Soto, CEO da Agility, neste momento, durante e pós pandemia, vemos um crescimento de ataques cibernéticos, seja pelo maior uso da internet, seja pela guerra cibernética entre países e ataques possibilitados pelo trabalho remoto, com a amplitude das superfícies, a segurança passa a ser encarada como um grande problema mundial.
“Da mesma forma que tomamos cuidados com a segurança pessoal, diário e constante, o mesmo precisa ser feito no mundo corporativo e até entre governos.”, sentenciou o executivo.
Segundo ele, para garantir a segurança dos dados há um complexo caminho que envolve prioritariamente a cultura de segurança, seja no uso pessoal das coisas digitais seja no mundo corporativo. “Não há como garantir segurança digital em 100%. Isso não existe. É um jogo de gato e rato e por isso que da mesma forma que há empresas que investem em tecnologia, processos e pessoas, do outro lado, existem organizações para realizar fraudes, ransomwares para distribuir malwares no mundo. Os dois lados estão sempre evoluindo. Sempre haverá novos riscos. E a vigilância precisa ser constante”, classifica o executivo.
Como explicou na sua apresentação, Soto aponta que o tema segurança de dados deveria fazer parte das preocupações do próprio do negócio. “Nest aspecto pode-se falar que existem empresas com maturidade neste tipo de controle, entretanto são uma minoria com maturidade e uma grande maioria sem maturidade alguma. Existe tecnologia para todo o tipo de segurança que se pense, para qualquer que seja a atividade da companhia, o que varia são os graus de investimentos”, lembrou.
“Temos trabalhado muito com o conceito de Zero Trust, que foca na mudança de comportamento do usuário, mas é um conceito e não uma tecnologia. Tudo passa por pessoas, frameworks, tecnologia, empresas que prestam serviços, ou seja, antes de tudo precisa se ter um equilíbrio entre a segurança e a visibilidade, um balanceamento entre as forças permitindo o trabalho e ao mesmo tempo protegendo”, disse.
Para Adriano Mendes, advogado especialista em Proteção de Dados Pessoais e sócio do Assis e Mendes Advogados, a sua atuação ocorre sempre depois dos incidentes, ou seja, uma atuação que ocorre na crise já instalada.
“Ressalto que a conscientização dos elementos dentro das empresas é fundamental para minimizar os danos. E cada organização precisa saber quais são as proteções que precisam tomar antes que o mal se instale e nada mais possa ser feito “, alertou o advogado.
“Acredito que seja importante cada grupo de gestores entenderem o que é bom para o seu negócio. Saber o quê investir ou como investir. O trabalho conjunto de proteção do ambiente envolve uma mudança nos conceitos antigos e devem mudar para melhor. A falha acontece não por uma deficiência da mas por deficiência cultural. A falha humana de não atentar que os dados da empresa são importantes – atrelada a consciência não só punitiva, mas ter a consciência preventiva”, aconselha o especialista.
Alan Costa, vice-presidente de Operações da ISH , alerta que no cenário atual, a escolha de um só tipo de prevenção, embora o número de tecnologias para isso seja muito grande, não é mais suficiente para todas as ameaças que estão surgindo. “Por isso se fala tanto em cultura de segurança. Os ataques exploram as vulnerabilidades e as respostas rápidas é que vão fazer a diferença entre ter mais ou menos riscos”, disse.
Como ele argumentou, combater hackers é uma das últimas coisas que as empresas privilegiam. Mas é preciso manter os negócios operando e saudáveis, esta é a maior prioridade. É preciso evoluir a mentalidade. “Não se trata mais de prever ou não prever invasões cibernéticas. Mas de entender que elas certamente irão acontecer. Um sistema de monitoramento eficiente, fortalecido por uma cultura sólida de segurança, pode interromper muitas ameaças. Toda estratégia de segurança cibernética é baseada em três pontos: monitoramento, detecção e resposta.”, sentenciou o especialista.
” O segredo da proteção é a velocidade de resposta para que os danos possam ser contidos. Não existe bala de prata. Não existe salto de maturidade. Vamos olhar para o básico, implementar a segurança, o awareness e ir evoluindo neste sentido “, completou o executivo.
Para Ulisses Penteado, CTO da BluePex, empresa que desenvolve soluções de segurança da informação para o mercado corporativo, neste contexto de grandes ataques, em todos os países, em qualquer tipo de empresa o pior cenário é pensar que se está protegendo seus ativos “Para mim tão pior que não ter nada protegendo, é ter alguma coisa pensar que está tudo bem”, disse, “Ter somente alguns pontos seguros, permite a exploração de muitas outras vulnerabilidades pelos atacantes”, disse o executivo.
Segundo ele, o que ocorre hoje nas invasões tem mais a ver com processos, do que com tecnologia. “A responsabilidade vai além de ter alguém aplicando um punhado de regras. Se por um lado se implementa proteção e monitoramento, de outro, o comportamento do usuário também precisa ser monitorado, além daquele identificado no modelo de compliance”, ressaltou. ” A segurança ocorre um pouco por dia, uma peça por vez, não há como pular a frente, achar que tudo está seguro. Sem dúvida os investimentos precisam ocorrer. Na cibersegurança há milagres. Temos que tratar do básico todos os dias. Gosto de dizer que para se ter segurança nas empresas é como correr uma maratona, pode ser simples, mas não é fácil! Tudo precisa de preparação, treinamento e muito trabalho.”, concluiu.
