Até 2020, 99% das vulnerabilidades exploradas por ataques maliciosos continuarão sendo as mesmas já conhecidas pelos times de Segurança e TI há pelo menos um ano. O levantamento, feito pelo Gartner no final de 2017, é alarmante. As organizações ainda parecem render-se àquele ditado popular conhecido: "depois da casa arrombada é que se coloca cadeado na porta". É necessário mudar isso.
Está claro que a natureza da questão não é mais "se" – e sim, "quando" – sua empresa será atingida. Seja no setor financeiro, comércio, indústria, serviços e varejo. Todos os segmentos estão entre os mais visados, como informa o Relatório M-Trends divulgado em 2018. A voracidade dos ataques obriga executivos, diretores e presidentes a colocarem sua reputação em jogo para explicar os prejuízos decorrentes de um ciber ataque imprevisto.
Diante deste dilema, proponho uma mudança de visão comumente usada na nossa vida enquanto seres humanos. Nós, seres humanos, recorremos a um arsenal farmacológico para tratar doenças. Entretanto, ainda não é um hábito ir ao médico por prevenção. Por isso, temos tantas campanhas preventivas no Brasil e até mesmo no mundo. Por que não devemos enxergar a prevenção dos dados contra-ataques online da mesma maneira? Pela mesma lógica, prevenir ainda é menos oneroso do que remediar.
Acredito que esta visão diferenciada será uma tendência cada vez mais em alta na Segurança da Informação. Tanto pelas ferramentas e serviços disponíveis, quanto pela eficiência nos processos. Executivos devem perceber que a importância de uma análise de vulnerabilidade é tão importante quanto implementar métodos preventivos de defesa contra ciberataques, garantindo o cumprimento das políticas de Tecnologia de Informação.
Um exemplo de implementação que considero fundamental são os protocolos de serviços para prevenção de ataques. Não raro, as empresas minimizam a importância de um firewall associado à filtragem de DNS contra sites nocivos, proteção contra malwares e políticas de segurança para e-mails. Estes métodos reduzem a vulnerabilidade das empresas e, consequentemente, os riscos tangíveis e intangíveis provocado por hackers.
Entretanto, não podemos deixar nenhuma ponta solta. Por essa razão, acredito também, em uma mudança mais profunda. De natureza cultural, comportamental, tecnológica e como resultado, mais duradoura. O empoderamento dos colaboradores em todos os níveis da organização é fonte crítica de vulnerabilidade em qualquer implementação. Assim, entendo que as precauções de cibersegurança devem ser um compromisso equilibrado entre tecnologia preventiva e confiança. Por sua vez, é implementado em pela equipe de Segurança da Informação da empresa em sintonia com áreas da empresa como Recursos Humanos. Afinal, quando 54% das empresas no Brasil ainda não confiam em seus funcionários com relação à segurança de dados, o cadeado na porta torna-se um símbolo de falsa proteção.
Patricia Teixeira, diretora de Marketing da CIPHER, uma empresa do grupo PROSEGUR.