O acelerado aumento do volume de dados ampliou ainda mais a demanda por proteção da informação em transações financeiras, a fim de garantir a privacidade e a gestão eficiente dos dados, visando o pleno funcionamento dos negócios no setor Financeiro.
Os cartões de crédito, débito e pré-pagos são a forma mais utilizada para pagamentos e movimentam altos valores em reais anualmente. De acordo com dados divulgados pela Associação Brasileira das Empresas de Cartões de Crédito e Serviços (Abecs), relacionados à utilização de cartões no Brasil, em 2023, foram contabilizadas 42,2 bilhões de operações que transacionaram R$ 3,74 trilhões. Não por acaso, os cibercriminosos buscam incansavelmente explorar as vulnerabilidades das empresas para acessar informações de cartões.
Nesse setor, os ataques seguem evoluindo principalmente com a IA, assim como as fraudes, em que phishing, emails e mensagens com links visam roubar dados sensíveis. Só com fraudes, a estimativa de perdas é de até US$ 130 bilhões ao ano para as empresas da América Latina, segundo a pesquisa da McKinsey sobre o tema. Esse estudo foi feito por meio de um levantamento da McKinsey na região América Latina, que entrevistou 679 executivos em atividade, e considerou golpes digitais, como malwares e phishing, mas também problemas na operação física, como com logística ou engenharia social.
Segundo esse estudo, 54% das corporações da região nos dois últimos anos registraram aumento nas perdas com fraudes, sendo no Brasil, um índice ainda maior de 60%. Com base nesses dados, os malwares e phishing são os campeões em ameaças digitais e, nas operações físicas, é a fraude logística, com a falsa devolução de itens, desvio de mercadorias que não chegam aos consumidores, entre outros.
Um dos padrões mais relevantes nesse contexto é o PCI DSS (sigla em inglês para Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) o qual regula a segurança de dados de cartões de crédito, débito e outros. A mais recente atualização, a versão 4.0, implementada em março de 2022, entrou em vigor este ano (2024) e traz uma série de alterações e novos requisitos projetados para melhorar a atuação das organizações em relação aos ataques cibernéticos, como a exigência de abordagem proativa para a proteção dos dados de pagamento.
Ataques como ransomware, APTs (Ameaças Persistentes Avançadas), exploração de vulnerabilidades conhecidas e Zero Day, dentre outros, continuam a fazer parte dos riscos dos ambientes empresariais e, com muito apetite, do ambiente Financeiro. Esse setor continua sendo um alvo atrativo para os cibercriminosos, considerando a quantidade e o tipo de informações que as empresas de serviços financeiros coletam de seus clientes. No caso de um vazamento de dados, as informações podem ser usadas ??por cibercriminosos para cometer fraude por meio de roubo de identidade, entre inúmeros outros golpes e extorsões.
Prevenção: melhor alternativa para redução de riscos
Capacitar e promover treinamento constantes aos colaboradores de uma organização financeira é um dos caminhos para uma agenda de boas práticas de segurança cibernética. Mas a maior parte da defesa contra ameaças cibernéticas deve recair sobre as soluções técnicas implementadas em toda a infraestrutura de negócios – além da adoção de políticas consistentes de segurança. É importante que as companhias implementem uma estratégia de priorização de riscos, que classifique as ameaças com base em sua gravidade e potencial de impacto. Dessa forma, as equipes de segurança podem concentrar seus esforços nas vulnerabilidades que têm maior probabilidade de serem exploradas ou que podem causar mais danos, ajustando suas defesas antes que ataques ocorram.
Ambientes complexos
Devido à maior complexidade de gestão dos ambientes empresariais que hoje são pautados pela hiperconectividade, diversidade de dispositivos, IoT, nuvem (pública, privada, híbrida e multicloud), é importante ter visibilidade sobre todo o ambiente e sobre sua superfície de ataque. É essa clareza que poderá ajudar a detectar configurações incorretas e aplicar políticas de segurança rigorosas, contribuindo para a eficácia das medidas de proteção dos dados e para cumprir os requisitos legais e normas de compliance altamente exigidos do setor Financeiro.
A governança em instituições financeiras requer cuidados especiais, quando comparado a outros setores, pois as boas práticas de governança deste segmento são relevantes para o equilíbrio econômico, além de serem alvo de uma ampla regulação. Empresas desse setor são dirigidas interna e externamente pela governança a qual inclui sistemas, controles e procedimentos de transparência, equidade e accountability.
Organizações que investem em prevenção e têm uma agenda de boas práticas e políticas sólidas de segurança, não só se recuperam bem de adversidades, como absorvem os choques com maior facilidade e vão além – dando um salto à frente junto à sua credibilidade e imagem. Esse perfil de organização consegue transformar riscos e vulnerabilidades em oportunidades de crescimento rumo a maior maturidade, seja no mundo digital ou no offline.
Alejandro Dutto, diretor de Engenharia de Segurança da Tenable para América Latina e Caribe.