A segurança da informação é uma área cada vez mais importante e estratégica para as organizações, que precisam proteger seus dados, sistemas e redes de ataques cibernéticos. No entanto, o cenário atual apresenta diversos desafios e riscos para a segurança da informação, bem como oportunidades e benefícios para quem se prepara para o futuro.
Em cenário crescente de riscos, falta de estruturação, conhecimento e profissionais especializados, o conceito de “Escritório de Defesa Cibernética” se apresenta como uma excelente opção, por ser uma organização que coordena e integra as atividades de proteção, prevenção, detecção, resposta e recuperação no espaço cibernético, visando assegurar a liberdade de ação e a defesa dos interesses corporativos.
Desafios e riscos
Alguns dos principais desafios e riscos para a segurança da informação são:
O aumento da complexidade e da sofisticação dos ataques, que exploram vulnerabilidades técnicas, humanas e organizacionais, e que podem causar danos financeiros, reputacionais e operacionais. Segundo o relatório da McAfee Activate, o custo global dos crimes cibernéticos foi estimado em US$ 1 trilhão em 2020, um aumento de 50% em relação a 2018 (McAfee, 2020).
A falta de profissionais qualificados e especializados em segurança da informação, que possam planejar, implementar e monitorar as medidas de proteção adequadas, bem como responder aos incidentes de forma eficaz e eficiente. Segundo o relatório da ISC2, há uma escassez de 3,12 milhões de profissionais de segurança cibernética no mundo, sendo que a América Latina é a região com a maior lacuna, de 62%.
A evolução constante das tecnologias, que trazem novas oportunidades, mas também novos desafios para a segurança da informação, como a computação em nuvem, a internet das coisas, a inteligência artificial, o big data, entre outras. Segundo o relatório da Cisco , 94% das organizações usam serviços de nuvem, 49% dos dispositivos conectados à internet são de IoT, e 76% dos líderes de TI afirmam que a IA é fundamental para o sucesso dos negócios.
A necessidade de alinhar a segurança da informação com os objetivos de negócio, as regulamentações e as expectativas dos clientes, que exigem transparência, confiança e conformidade. Segundo o relatório da IBM iX , 76% dos consumidores afirmam que a segurança dos dados é um fator importante na escolha de uma marca ou de um produto, e 52% dos executivos afirmam que a conformidade com as leis de proteção de dados é um desafio para a segurança cibernética.
Oportunidades e benefícios
Diante desses desafios e riscos, as organizações devem buscar as melhores práticas e as tendências em segurança da informação, que podem oferecer benefícios e vantagens competitivas. Os serviços de um Escritório de Defesa Cibernética contribui para o aumento da segurança, disponibilização de profissionais especializados e geração de maior segurança para as empresas de várias formas, tais como:
Adoção de uma abordagem proativa e preventiva, que envolva a análise de riscos, a definição de políticas, a conscientização dos usuários, a implementação de controles, a realização de testes e auditorias, entre outras ações. Segundo o relatório da Accenture, as organizações que adotam essa abordagem podem reduzir o impacto dos ataques cibernéticos em até 70%.
Utilização de ferramentas e soluções avançadas, que permitam a detecção, a resposta e a recuperação de ataques, bem como a análise e a melhoria contínua dos processos de segurança da informação. Segundo o relatório do Gartner , o mercado global de segurança da informação deve crescer 12,4% , alcançando US$ 150,4 bilhões, impulsionado pela demanda por soluções de segurança em nuvem, de identidade e de acesso, e de análise de dados.
Desenvolvimento e aprimoramento das capacidades cibernéticas das equipes internas, por meio de pesquisa, inovação, capacitação, doutrina e exercícios.
Integração da segurança da informação com outras áreas, como a governança, a gestão de projetos, a inovação, a qualidade, entre outras, que podem contribuir para a otimização dos recursos, a redução de custos, o aumento da eficiência e a geração de valor. Segundo o relatório da Delloite Consulting , as organizações que integram a segurança da informação com a estratégia de negócio podem aumentar a receita em até 5,4%.
Capacitação e atualização dos profissionais de segurança da informação, que devem possuir competências técnicas, gerenciais e comportamentais, além de acompanhar as mudanças e as novidades do mercado. Segundo o relatório da CompTIA, as certificações em segurança da informação são as mais valorizadas pelos empregadores, e podem aumentar o salário em até 20%.
Fortalecer a cultura de segurança cibernética internamente, conscientizando os usuários sobre os riscos, as ameaças e as medidas de proteção no espaço cibernético.
Os beneficios de um Escritório de Defesa Ciberntética são diversos, com serviços que se adequam aos setores e objetivos de cada organização, gerando proteção empresarial contra ataques cibernéticos e violações de dados e maior governança operacional.
Previsões para 2023
Em 2023, espera-se que os ataques cibernéticos se tornem mais frequentes e mais severos, afetando diversos setores e segmentos da sociedade. Alguns dos possíveis e principais ataques cibernéticos em 2023 são:
Ransomware: ataques que criptografam os dados das vítimas e exigem um resgate para liberá-los, podendo causar a interrupção de serviços essenciais, como saúde, educação, energia, transporte, entre outros. Segundo o relatório da Cybersecurity Ventures , o custo global dos ataques de ransomware deve superar os US$ 20 bilhões.
Phishing: ataques que usam e-mails, mensagens ou sites falsos para enganar os usuários e roubar suas credenciais, dados pessoais, financeiros ou corporativos, podendo levar a fraudes, extorsões, espionagens, entre outros. Segundo o relatório da Verizon, o phishing foi a causa de 22% das violações de dados, e deve continuar sendo uma das principais ameaças em 2024.
DDoS: ataques que sobrecarregam os servidores ou as redes das vítimas com um grande volume de tráfego, podendo causar a lentidão ou a indisponibilidade de sites, aplicativos ou serviços online, como e-commerce, streaming, jogos, entre outros. Segundo o relatório da NETSCOUT, o número de ataques de DDoS aumentou 20% em 2020, e deve continuar crescendo em 2023, com ataques cada vez mais potentes e duradouros (Netscout, 2020).
APT: ataques que usam técnicas avançadas e persistentes para infiltrar-se nas redes ou nos sistemas das vítimas, podendo permanecer por longos períodos sem serem detectados, e realizar atividades maliciosas, como roubo, destruição ou alteração de dados, sabotagem, entre outros. Segundo o relatório da FireEye, os grupos de APT estão cada vez mais diversificados e sofisticados, e devem continuar mirando alvos estratégicos, como governos, empresas e infraestruturas críticas, em 2023 (FireEye, 2020).
IoT: ataques que exploram as vulnerabilidades dos dispositivos conectados à internet, como câmeras, sensores, eletrodomésticos, carros, entre outros, podendo comprometer a privacidade, a segurança e a funcionalidade dos mesmos, bem como usá-los como vetores para outros ataques. Segundo o relatório da Statista, o número de dispositivos de IoT deve chegar a 75,44 bilhões em 2025, e deve representar um grande desafio para a segurança da informação em 2023 (Statista, 2020).
Cuidados a serem tomados
Diante desses ataques cibernéticos, as organizações e os indivíduos devem tomar cuidados para proteger suas informações, tais como:
Manter os sistemas e os dispositivos atualizados, com os patches de segurança instalados, e usar softwares e aplicativos de fontes confiáveis.
Usar antivírus, firewall, VPN e outras ferramentas de segurança, e configurá-las adequadamente, de acordo com as necessidades e os riscos de cada ambiente.
Fazer backups regulares dos dados importantes, e armazená-los em locais seguros e acessíveis, preferencialmente em nuvem, com criptografia e autenticação.
Usar senhas fortes, únicas e diferentes para cada conta ou serviço, e habilitar a verificação em duas etapas, sempre que possível, para aumentar a segurança das credenciais.
Desconfiar de e-mails, mensagens ou sites suspeitos, e não clicar em links, anexos ou botões, sem verificar a origem e a veracidade dos mesmos, e evitar fornecer dados pessoais, financeiros ou corporativos, sem ter certeza da identidade e da intenção do solicitante
A segurança da informação é um tema relevante e desafiador para as organizações, que devem estar preparadas para enfrentar as ameaças e aproveitar as oportunidades que o futuro reserva. Para isso, é preciso investir em pessoas, processos e tecnologias, que possam garantir a proteção, a confiabilidade e a disponibilidade das informações, que são essenciais para o sucesso dos negócios.
A segurança da informação não é apenas uma questão técnica, mas também uma questão estratégica, que envolve a gestão de riscos, a governança, a inovação, a qualidade, entre outros aspectos. A segurança da informação deve ser vista como um diferencial competitivo, que pode gerar valor, confiança e reputação para as organizações.
A segurança da informação também é uma questão de responsabilidade social, que envolve o respeito aos direitos, às leis e às expectativas dos clientes, dos parceiros, dos fornecedores, dos funcionários, dos acionistas, da sociedade e do meio ambiente. A segurança da informação deve ser vista como um compromisso ético, que pode contribuir para o desenvolvimento sustentável e para o bem-estar coletivo.
Os beneficios de um Escritório de Defesa Ciberntética são diversos, com serviços que se adequam aos setores e objetivos de cada organização, gerando proteção empresarial contra ataques cibernéticos e violações de dados, que podem causar prejuízos financeiros, reputacionais e operacionais; proteção de dados e redes, que são ativos estratégicos e vitais para o funcionamento e o desenvolvimento das organizações; prevenção de acesso de usuários não autorizados, que podem comprometer a privacidade, a segurança e a integridade das informações, tempo de recuperação aprimorado após incidentes, minimizando os impactos e os custos; proteção para usuários finais e dispositivos terminais, que podem ser alvos ou vetores de ataques cibernéticos5; maior governança operacional, com o controle e aprimeoramento de políticas, normas e procedimentos; profissionais especializados e capacitados nos mais diversos temas e setores da segurança, investigação e perícia digital.
Importante reforçar que o tema deve estar na agenda de todos os líderes, gestores, profissionais e usuários, que devem buscar o conhecimento, a capacitação, a conscientização e a colaboração para enfrentar os desafios e as oportunidades que o futuro traz.
Fonte: Oerton Fernandes via Linkedin
Comments