Atenção aos riscos cibernéticos pode prevenir perdas financeiras e impactos relevantes aos negócios

O volume de ataques cibernéticos, quadrilhas especializadas em fraudes digitais e erros operacionais tem aumentado significativamente nos últimos anos. Os impactos gerados pela pandemia da Covid-19 provocaram mudanças sem precedentes no comportamento e cotidiano das pessoas. O trabalho remoto ou híbrido, por exemplo, trouxe importantes desafios para as organizações, que passaram a ter que confiar ainda mais nas pessoas, agora conectadas a partir de qualquer lugar do mundo.

Além disso, a monetização crescente dos dados tem despertado interesses de grupos e quadrilhas que buscam encontrar falhas sistêmicas, vulnerabilidades ou explorar falhas em controles de acessos para extrair dados, roubar informações estratégicas ou ainda realizar fraude com uso de engenharia social, por exemplo.

Os impactos com ataques cibernéticos podem ser relevantes e gerar riscos para a imagem e continuidade dos negócios. Os últimos ataques em empresas de diversos setores como varejo, serviços, financeiro, laboratórios e outros mostram que todas as empresas estão sujeitas a riscos e, portanto, não podem negligenciá-los.

Nos últimos anos, diversas entidades e órgãos reguladores têm recomendado ou incluído em suas normativas controles internos e processos específicos para aprimorar a prática de segurança da informação, bem como estabelecido melhores práticas de controles buscando reduzir riscos sobre as demonstrações financeiras das empresas.

Pesquisas realizadas por multinacionais de software especializadas em cybersecurity mostram que, no Brasil, os ataques cibernéticos aumentaram 94% durante em 2022, em relação ao ano anterior.

Como implementar mecanismos de proteção

É preciso que as organizações busquem estabelecer camadas de proteção, considerando pessoas capacitadas, tecnologias de segurança e processos alinhados com as melhores práticas como NIST, ISO 27001, entre outros. Entre os principais aspectos a considerar estão:

• Governança de segurança da informação, incluindo o envolvimento ativo dos executivos sêniores – com possível expansão ao comitê de auditoria.
• Conscientização do board e conselheiros, buscando ampliar o conhecimento sobre o tema e sua relevância aos negócios.
• Envolvimento de especialistas em riscos cibernéticos na avaliação e e identificação dos ativos críticos.
• Automatizar controles e processos com soluções reconhecidas pelo mercado para proteger os dados e sistemas. O alto custo desses investimentos pode provocar sua postergação, porém os riscos precisam ser aceitos e estar claramente divulgados aos acionistas.
• Monitorar e implementar processos com inteligência artificial para identificar ataques cibernéticos com base em comportamentos anômalos. Considerando a avalanche de técnicas de ataques, esta atividade tem sido terceirizada a empresas especializadas.
• Implementar planos de resposta aos incidentes, incluindo estratégias para conter ataques; recuperar as operações, de comunicação interna e ao mercado, bem como investigação e análise forense.
• Implementar processos e técnicas para identificação e tratamento de fraudes digitais, além de processos para mitigação de riscos durante o desenho e testes de novos sistemas.
• Gerenciar os riscos com seus fornecedores terceiros e parceiros é fundamental para assegurar que as suas vulnerabilidades não contaminem os negócios.
• A engenharia social é um dos temas explorados pelos atacantes ou quadrilhas - uma das técnicas mais utilizadas é o phishing (e-mail com links para induzir os usuários a clicar). Portanto, é preciso avaliar e conhecer os colaboradores, treiná-los e capacitá-los.
• Estabelecer formas de compartilhar informações sobre as ameaças cibernéticas com outras instituições do setor podem ajudar a aumentar o conhecimento sobre as técnicas, além de criar listas negativas para pessoas, links e fornecedores.
• Avaliar a possibilidade de contratação de seguro cibernético para casos em que o risco seja materializado.

A transformação digital constante e o avanço da tecnologia, inclusive na automação industrial, tem aumentado de forma exponencial os riscos cibernéticos para os negócios. Portanto, dificilmente as empresas conseguirão realizar essa proteção e gerenciamento da segurança sem o apoio de especialistas capacitados.

Neste caso, deve ser realizada uma avaliação criteriosa sobre o “trust advisor” que apoiará o programa de segurança da informação, buscando reduzir o número de empresas e focar nas com maior robustez e especialização no tema.

Gestão de identidades e acessos privilegiados

Acessos sempre foram e continuarão sendo um dos principais focos dos auditores ao avaliar a segurança dos sistemas de informação. Controlar os acessos aos dados dos sistemas da empresa é uma tarefa árdua e requer muita atenção.

Historicamente, por ser um processo ainda realizado de forma manual, o risco de concessão de acessos, bem como falhas ao segregar as funções geram impactos diretos nas demonstrações financeiras, o que torna comum apontamentos dos auditores.

Se o auditor não confiar no ambiente de controles de tecnologia, custos adicionais poderão ser acrescentados aos trabalhos da auditoria para que os profissionais tenham o mínimo de conforto em seu trabalho.

Automatizar e aprimorar os processos de governança de identidades e acessos privilegiados contribuem diretamente na redução e mitigação de riscos cibernéticos, seja contra as ameaças de ataques ou apontamentos dos auditores. A maturidade no gerenciamento das identidades e dos acessos privilegiados proporcionam as empresas melhores formas de proteger de ataques cibernéticos, vazamento de dados, fraudes, além de reduzir riscos de apontamentos relevantes pelos auditores.