Por Rafael Sampaio, Country Manager da NovaRed

É cada vez mais comum acompanharmos notícias sobre vazamento e sequestro de dados que afetam principalmente o Brasil. Seja liderando os rankings como ofensores ou se posicionando entre os principais alvos. Já deu para perceber que nos encontramos em um país de grande valor para o mundo do cibercrime.

A proposta de criação da Agência de Segurança Cibernética (ANCiber) levanta uma discussão da administração pública sobre o quanto o Brasil é um país visado na perspectiva dos criminosos cibernéticos. Como nota, somos o país que mais gasta com resgate de sequestro de dados no mundo. Mas como chegamos a esse cenário?

Leia mais:

publicidade

O fator mais visível que podemos analisar é a grandiosidade da população nacional. Segundo o IBGE, são mais de 203 milhões de brasileiros. Enquanto sétima nação mais populosa mundialmente, existe um alto volume de informações em circulação na rede. O Brasil é um dos grandes utilizadores de mídias sociais e mensagens instantâneas. É um fato que o período de pandemia acelerou a digitalização de diversos setores e, consequentemente, aumentou a superfície de risco. A partir do momento que se passa a ter uma vida digital mais rica, a necessidade de implementação de práticas de defesa cibernética se torna imprescindível.

Também estamos falando da nona maior economia do mundo, com grandes corporações e milhões de micro e pequenas empresas. Ou seja, existem muitos alvos para um cibercriminoso. Embora pareça ser a solução mais prática em momentos de ataque pagar um resgate sem garantias, isso pode ter consequências a longo prazo, confirmando um ciclo vicioso e produzindo uma zona de falsa segurança.

O ideal é que exista um plano prévio de cibersegurança alinhado com o conselho administrativo, elaborado pelo CISO (Chief Information Security Officer) que possa orientar as melhores estratégias de prevenção, detecção, resposta e recuperação de incidentes cibernéticos.

Pontos positivos e negativos para o Brasil

Por outro lado, o Brasil desponta tecnologicamente em muitos aspectos. O setor financeiro brasileiro é reconhecido mundialmente pelo seu avanço tecnológico, o setor de aviação brasileiro idem. Nosso país usa e desenvolve bastante tecnologia. No entanto, enquanto muitos países têm regulamentações aprovadas de segurança em âmbito nacional e setorial (saúde, energia e indústria, para citar alguns casos), o Brasil ainda se encontra menos maduro, com pouca cobertura normativa e baixíssima fiscalização sobre o tema.

A regulamentação é boa e necessária para que as empresas e entes do governo adotem melhores práticas, protegendo a sociedade. A conclusão é que o nível de governança em segurança da informação é baixo no Brasil. Criando ano após ano um déficit em tecnologias de proteção nas nossas organizações.

Nesse processo de amadurecimento, alguns setores do Brasil estão realizando movimentações mais significativas – porém, a lacuna existe. Naturalmente, os setores mais regulados, como finanças e empresas abertas, têm maior maturidade que os demais com pouca regulamentação. Já as pequenas e médias empresas estão, em sua maioria, imaturas em relação à implementação de práticas de defesa. Essa dificuldade maior para PMEs também é considerada pela Autoridade Nacional de Proteção de Dados (ANPD), que simplificou o modelo de registro das operações na fiscalização da Lei Geral de Proteção de Dados Pessoais (LGPD) para Agentes de Tratamento de Pequeno Porte (ATPP).

A segurança da informação por muito tempo foi vista como um custo desnecessário e, até pior, como um obstáculo ao progresso da inovação. Esse tipo de visão urge de uma revisão imediata. O assunto precisa ser visto pela visão que realmente ele representa. Segurança da Informação é um habilitador da inovação. A inovação depende de um ambiente seguro para se consolidar. E, ao contrário da associação com custos, a gestão de riscos cibernéticos aumenta o valor de mercado das empresas.

Não apenas por evitar perdas significativas. Estudos apontam que, após um incidente cibernético, empresas perdem até 5% a 7% do seu valor de mercado nos seis meses subsequentesem. Em sua maioria, provoca uma perda de longo prazo irreparável. O impacto positivo da cibersegurança fica muito tangível em processos de M&A (Mergers and Acquisitions, ou Fusões e Aquisições), pois, durante essas transações, sempre se realiza uma diligência cyber que pode retirar valor da transação ou acrescer valor.

Se o cibercrime fosse medido como um país, representaria a terceira maior economia do mundo, com projeção de prejuízos de R$ 43 trilhões apenas neste ano, um aumento de 630% desde 2019, conforme dados da Statista. Há, nesse sentido, um desequilíbrio de forças entre a defesa e o ataque.

Os cibercriminosos seguem atingindo organizações dos mais diversos tamanhos e segmentos, agindo em cadeia para que, a partir de uma única vulnerabilidade identificada, consigam acessar todos os arquivos, backups ou mesmo dispositivos conectados. A partir disso, as operações são paralisadas e comprometidas, levando à interrupção dos negócios. O esforço de defesa, por outro lado, se importa em fechar todas as vulnerabilidades conhecidas e monitorar ameaças chamadas de “dia zero”.

Se, por um lado, o Brasil é um grande alvo para as atividades criminais nos ambientes digitais, por outro, há o crescimento da democratização da segurança com o surgimento de soluções que podem ser adquiridas por organizações de diferentes portes. O ecossistema de empresas dedicadas à defesa cibernética vem florescendo ano após ano. Para além da defesa dos próprios sistemas e do monitoramento constante com os Centros de operações de segurança (SOC), o gerenciamento de risco de terceiros passa a pautar uma nova realidade de parcerias focadas em governança de dados.

Os riscos cibernéticos não vão desaparecer, ao contrário, eles aumentam exponencialmente ano após ano e a cada grande organização cabe gerir este risco de forma diligente e responsável.