BRANDS' ECO Estou preparado para um Ciberataque?

Não há dúvidas de que nos últimos anos as organizações concentraram as suas estratégias na transformação digital e convergência de serviços, e dentro deste contexto a segurança passa a ter um papel crucial nos negócios, situação acentuada quando vemos empresas de diferentes dimensões e indústrias sendo fortemente impactadas em diversos ciberataques. A pandemia, nesse sentido, foi uma grande alavanca para atrair os atacantes, que se organizaram rapidamente para explorar o aumento da oferta de serviços e negócios realizados online.

Com a informação ganhando cada vez mais valor o meio digital passou a ser um campo fértil, tanto para realização de negócios, como para os criminosos que se aproveitam dessas facilidades para atacar as empresas, independente da sua dimensão. O seu arsenal varia desde as técnicas clássicas de exploração, largamente presentes nos sistemas legados e que ainda são mantidos em grande escala pelas empresas, até as novas táticas que combinam o ataque direcionado com o Ransomware como Serviço (RaaS), com ações de extorsão e ameaças de divulgação aos clientes e a órgãos reguladores.

Segundo o relatório da ENISA – Threat Landscape for Ransomware Attacks de jul/2022, estima-se que mais de 60% das empresas que sofreram ataques deste tipo, pagaram o resgate para não terem os seus dados publicados na Internet.

Atraídos pelo retorno financeiro, não surpreende que o volume de incidentes tenha aumentando nos últimos anos. No Relatório de Riscos e Conflitos de jun/2022, emitido pelo Centro Nacional de de Cibersegurança – CNCS, observou-se um acréscimo de 26% no número de incidentes no último ano, sendo que outras pesquisas internacionais convergem suas tendências na mesma direção (ENISA, Europol e WEF).

Mesmo diante de casos recém-publicados de organizações impactadas e indicativos de tendências de aumento dos riscos, muitos ainda ponderam os seus investimentos em segurança devido a uma falsa sensação de proteção e confiam plenamente em tecnologias preventivas, que muitas vezes operam sem um acompanhamento adequado ou validação da sua eficácia. As frases “nunca tivemos incidentes” ou “não somos suficientemente expostos” ainda é comum de ouvir e influencia na direção contrária do que é preciso ser feito.

Para reverter esse panorama é preciso assumir uma postura preditiva, colocando-se à frente das ameaças, e isso requer ações que identifiquem o seu grau de exposição e o quão preparado está para mitigar ataques em tempo aceitável. A preparação organizacional e governança dos riscos são fatores preponderantes e a este processo deve-se considerar minimamente:

• Avaliação regular dos controlos e processos de segurança (assessments). Essa é a oportunidade de corrigir os pontos de falha na estratégia de segurança
• A formação contínua das pessoas é o ponto-chave na defesa quando os controlos técnicos falham, sendo esta sua principal linha de defesa.
• Um modelo de gestão de riscos com apoio da direção na abordagem priorizada das correções
• Certificação das capacidades de deteção e tempo de resposta a um ataque. Isso fará toda diferença quando acontecer
• Mais do que instalar as tecnologias de segurança é fundamental testar sua efetividade, assim como habilitar todas as suas capacidades e continuamente fazer um refinamento das suas políticas e regras.
• Testes regulares de exploração ou intrusão em sistemas críticos e serviços expostos

Aqueles controles tecnológicos sozinhos, e uma segurança pouco consultiva já não suprem mais as necessidades e evolução das empresas; é preciso apoio adequado para desenvolver uma estratégia de segurança com objetivos em todos os pilares: Tecnologia, Processo e Pessoas, muito bem equilibrada entre as perspetivas de Proteção, Deteção e Resposta.

"Para reverter esse panorama é preciso assumir uma postura preditiva, colocando-se à frente das ameaças, e isso requer ações que identifiquem o seu grau de exposição e o quão preparado está para mitigar ataques em tempo aceitável.”

Assumindo que os ataques acontecerão e alguns destes poderão ter sucesso é hora de encontrar formas de se proteger. A construção de estratégias direcionadas, podem garantir um ambiente mais resiliente a possíveis ataques cibernéticos, pois não é mais questão de “se”, mas de “quando” a sua empresa será alvo dos cibercriminosos.