Há pouco mais de seis meses para a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), o governo caminha na opinião de postergar este prazo para agosto de 2022. A principal razão é a falta de preparo de alguns órgãos e entidades públicos para a aplicação da nova legislação e a falta de recursos para suportar a criação da Autoridade Nacional de Proteção de Dados (ANPD). Diante desta indecisão, quem acaba perdendo é o consumidor.

Em um relatório de setembro do ano passado, a União Internacional de Telecomunicações (UIT) afirmou que o Brasil era o segundo país mais afetado em termos de perdas econômicas devido a ataques cibernéticos. Em 2018, as perdas das empresas nacionais devido a estes problemas ultrapassaram US$ 20 bilhões direta ou indiretamente e mais de 70 milhões de pessoas tiveram seus dados invadidos, ou seja, um terço da população no Brasil.

O último relatório do Fast Facts da empresa de segurança cibernética Trend Micro, o Brasil também está em segundo lugar nas listas dos países mais afetados por ameaças de ransomware (é um software malicioso que afeta sistemas informáticos ou redes inteiras de computadores) sendo alvo de 10,5% de todas as ameaças globais identificadas empresa. O país líder neste ranking são os EUA (com 11,2% de ameaças). Depois do Brasil estão a Índia, Vietnã e a Turquia.

Por que não há investimento efetivo na segurança da informação? Primeiro, o brasileiro não tem a cultura de investir em prevenção. ???Investir em segurança significa investir na proteção de ponta a ponta, desde o monitoramento e identificação até prevenção e respostas a incidentes e ataques cibernéticos. E o que a maioria das empresas fazem é investir em uma das partes. Não adianta. ?? jogar dinheiro fora! O importante é investir em toda a cadeia, ter um plano de continuidade de negócios???, explica o executivo em TI e Gerenciamento de Riscos na innovativa Executivos Associados, Carlos Macedo.

O perigo está ao nosso lado, mas muitos preferem fazer de conta que não existe. Só para o leitor ter uma ideia, a Anatel, agência reguladora de telecomunicações, divulgou no final de 2019 que o Brasil alcançou 312 milhões de acessos em telecomunicações. E com a chegada do 5G, os dados mundiais podem atingir 1 trilhão de gigabytes até 2025.

Foco dos criminosos: O foco principal para ataques são os novos serviços promovidos na nuvem, dispositivos móveis, aplicativos e plataformas de e-mail, portanto, nenhum ambiente está imune.

Há uma expectativa muito forte que os criminosos irão se aproveitar cada vez mais das mídias sociais, que são parte de nossas vidas há mais de uma década, até mesmo para levar vantagens em processos eleitorais, por exemplo.

Temos ainda a IoT ??? Internet of Things, ou Internet das Coisas e novas possibilidades surgiram. Já imaginou um drone de alto valor do segmento agrícola sendo sequestrado?

Quais são os principais ataques cibernéticos na América Latina?

Segundo o Laboratório de Pesquisa ESET, empresa especializada em detecção proativa de ameaças, que analisou os ataques mais comuns na América Latina, temos como principais ameaças:

Ataques de phishing ??? ?? um dos mais tradicionais, o usuário recebe uma mensagem com um link malicioso, que ao final do processo, rouba os dados do usuário.

Criptojacking ??? Foca no sequestro da capacidade de processamento de um equipamento para ganhar dinheiro por meio da mineração de criptomoedas. Com scripts executados no navegador do usuário, com apenas um click, instala um código que permite usar seu computador para processamento sem que perceba.

Malware ??? Uma das principais ameaças, pois também são usados para realizar ataques. ?? a principal causa de incidentes de segurança em empresas latino-americanas, principalmente, em sistemas móveis como o Android.

Ciberextorsões ??? São golpes usando a tecnologia que fazem com que os usuários acreditem que os criminosos têm informação sigilosa e confidencial sobre a vida ou negócios dele e praticam extorsão para devolverem ou apagarem os dados.

Em 2019 a Checkpoint publicou um relatório sobre as principais tendências de ataques no mundo, que em 2020 deve seguir o mesmo padrão:

    Malware Botnet (Emotet, Dorkbot e Trickbot)
    Criptomineradores (Coinhiv, Cryptoloot, e XMRig)
    Malwares Mobile (Triada, Lotoor e Hidad)
    Malwares Bancários (Ramnit, Trickbot  e Ursnif)

 

O Plano de Continuidade de Negócios

Frente ao cenário cada vez mais caótico de cibercriminosos tentando vantagens sobre as mais diversas corporações, fica a grande pergunta: O que ainda as empresas precisam fazer para tentar garantir a continuidade se já investiu milhões em soluções para impedir tais eventos?

Muitas vezes a solução ou proteção não está apenas em comprar o melhor sistema de Firewall, Antivírus, Monitoração de Logs/Eventos em tempo real, sistemas de dados altamente criptografados e muitas outras soluções. A empresa pode ter o sistema mais seguro do mundo, mas se as pessoas não souberem o que fazer em um momento de vulnerabilidade crítico, nada vai adiantar.

Afinal, minha empresa tem um Plano de Continuidade de Negócios real e auditado? Ou até mesmo um bem estruturado Sistema de Gestão de Continuidade eficiente?

O primeiro passo é desenvolver sua Política de Segurança.
Depois partir para analisar os riscos através de uma Análise de Impacto aos Negócios, e então criar seu PCN – Plano de Continuidade de Negócios. ?? neste plano que a empresa terá em detalhes sobre o que fazer no caso de um ataque, um evento da natureza ou erro humano que comprometa a continuidade de seus negócios.

Com um Plano de Continuidade de Negócios nas mãos e se for bem estruturado, todas as diretrizes deverão estar lá, vivas e nas pessoas, nos processos e procedimentos.

Agora quando seu sistema de prevenção de intrusão alarmar, seu analista de segurança da informação vai saber exatamente o que fazer. O comitê será capaz de iniciar o tratamento, as áreas afetadas saberão quais providencias tomar e se clientes forem afetados, as áreas de comunicação da empresa estarão prontas para ajudar a minimizar o impacto no mercado e com os clientes. Planejar é a melhor saída.