BRANDS' ECO Estou preparado para um Ciberataque?

  • ECO + EY
  • 12 Agosto 2022

A preparação organizacional dos riscos são fatores essenciais para as empresas que apostam na prevenção aos Ciberataques

Não há dúvidas de que nos últimos anos as organizações concentraram as suas estratégias na transformação digital e convergência de serviços, e dentro deste contexto a segurança passa a ter um papel crucial nos negócios, situação acentuada quando vemos empresas de diferentes dimensões e indústrias sendo fortemente impactadas em diversos ciberataques. A pandemia, nesse sentido, foi uma grande alavanca para atrair os atacantes, que se organizaram rapidamente para explorar o aumento da oferta de serviços e negócios realizados online.

Com a informação ganhando cada vez mais valor o meio digital passou a ser um campo fértil, tanto para realização de negócios, como para os criminosos que se aproveitam dessas facilidades para atacar as empresas, independente da sua dimensão. O seu arsenal varia desde as técnicas clássicas de exploração, largamente presentes nos sistemas legados e que ainda são mantidos em grande escala pelas empresas, até as novas táticas que combinam o ataque direcionado com o Ransomware como Serviço (RaaS), com ações de extorsão e ameaças de divulgação aos clientes e a órgãos reguladores.

Edney Gará, Manager EY, Cybersecurity, Consulting Services.
Edney Gará, Manager EY, Cybersecurity, Consulting Services.

Segundo o relatório da ENISA – Threat Landscape for Ransomware Attacks de jul/2022, estima-se que mais de 60% das empresas que sofreram ataques deste tipo, pagaram o resgate para não terem os seus dados publicados na Internet.

Atraídos pelo retorno financeiro, não surpreende que o volume de incidentes tenha aumentando nos últimos anos. No Relatório de Riscos e Conflitos de jun/2022, emitido pelo Centro Nacional de de Cibersegurança – CNCS, observou-se um acréscimo de 26% no número de incidentes no último ano, sendo que outras pesquisas internacionais convergem suas tendências na mesma direção (ENISA, Europol e WEF).

Mesmo diante de casos recém-publicados de organizações impactadas e indicativos de tendências de aumento dos riscos, muitos ainda ponderam os seus investimentos em segurança devido a uma falsa sensação de proteção e confiam plenamente em tecnologias preventivas, que muitas vezes operam sem um acompanhamento adequado ou validação da sua eficácia. As frases “nunca tivemos incidentes” ou “não somos suficientemente expostos” ainda é comum de ouvir e influencia na direção contrária do que é preciso ser feito.

Para reverter esse panorama é preciso assumir uma postura preditiva, colocando-se à frente das ameaças, e isso requer ações que identifiquem o seu grau de exposição e o quão preparado está para mitigar ataques em tempo aceitável. A preparação organizacional e governança dos riscos são fatores preponderantes e a este processo deve-se considerar minimamente:

  • Avaliação regular dos controlos e processos de segurança (assessments). Essa é a oportunidade de corrigir os pontos de falha na estratégia de segurança
  • A formação contínua das pessoas é o ponto-chave na defesa quando os controlos técnicos falham, sendo esta sua principal linha de defesa.
  • Um modelo de gestão de riscos com apoio da direção na abordagem priorizada das correções
  • Certificação das capacidades de deteção e tempo de resposta a um ataque. Isso fará toda diferença quando acontecer
  • Mais do que instalar as tecnologias de segurança é fundamental testar sua efetividade, assim como habilitar todas as suas capacidades e continuamente fazer um refinamento das suas políticas e regras.
  • Testes regulares de exploração ou intrusão em sistemas críticos e serviços expostos

Aqueles controles tecnológicos sozinhos, e uma segurança pouco consultiva já não suprem mais as necessidades e evolução das empresas; é preciso apoio adequado para desenvolver uma estratégia de segurança com objetivos em todos os pilares: Tecnologia, Processo e Pessoas, muito bem equilibrada entre as perspetivas de Proteção, Deteção e Resposta.

"Para reverter esse panorama é preciso assumir uma postura preditiva, colocando-se à frente das ameaças, e isso requer ações que identifiquem o seu grau de exposição e o quão preparado está para mitigar ataques em tempo aceitável.”

Edney Gará, Manager EY, Cybersecurity, Consulting Services.

Assumindo que os ataques acontecerão e alguns destes poderão ter sucesso é hora de encontrar formas de se proteger. A construção de estratégias direcionadas, podem garantir um ambiente mais resiliente a possíveis ataques cibernéticos, pois não é mais questão de “se”, mas de “quando” a sua empresa será alvo dos cibercriminosos.

 

 

Assine o ECO Premium

No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.

De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história e às newsletters ECO Insider e Novo Normal.

Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.

Comentários ({{ total }})

Estou preparado para um Ciberataque?

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião