Cibersegurança: O que as empresas estão ignorando?
Muito se tem comentado, noticiado e discutido sobre cibersegurança. Mas o que, na prática, os gestores estão fazendo?
ConsciÊncia X Ação
O primeiro passo para concretização de uma ação é a consciência de que é algo deve ser feito. Entretanto, sabedoria sem ação não tem valor.
Exemplos:
- Se você sabe que usar cinto de segurança ajuda reduzir os riscos de ferimentos graves em acidentes de trânsito, porém utiliza o cinto apenas de vez em quando, então este conhecimento pouco te ajudará.
- Você está acima do peso e sabe que precisa comer mais saudável e praticar exercícios para melhorar sua saúde, porém não faz, você não melhorará sua condição física.
Com cibersegurança é a mesma coisa, o primeiro passo é ter consciência que algo precisa ser feito e depois fazer. Primeiro, vamos analisar como está a consciência das organizações em relação a cibersegurança. Depois verificaremos suas ações.
Os gestores brasileiros tem consciência da importância de cibersegurança?
As pequisas mostram que sim:
- Segundo o Global Information Security Survey, da Ernst & Young, divulgado em 05/2016 , 44% das organizações brasileiras se sentem vulneráveis a ataques causados por funcionários
- 90% das empresas brasileiras esperam que cibersegurança torne-se uma prioridade mais elevada ao longo dos próximos dois anos. International Trends in Cybersecurity, pesquisa publicada em 29/04/2016 pela CompTIA.
- O Brasil está entre os países que mais se preocupam com violação de privacidade no mundo - 62% dos brasileiros entrevistados estão extremamente preocupados com a violação dos dados de seus clientes, segundo a pesquisa da Forrester de 2015.
Já que temos consciência em cibersegurança, onde estamos errando?
- O Brasil é o país mais vulnerável para vazamento de dados - De acordo com a IBM e o Instituto Ponemon, as empresas brasileiras tiveram um aumento considerável no risco de sofrerem um grande vazamento de dados, saltando de 30,1% em 2014 para 37% em 2015, “herdando” a amarga liderança do ranking.
- No Brasil 87% das organizações disseram que experimentaram pelo menos uma violação de segurança cibernética ou incidente nos últimos 12 meses.International Trends in Cybersecurity, pesquisa publicada em 29/04/2016 pela CompTIA.
- Pesquisa da Kasperskylab revela as razões pela qual o Brasil estar se tornando um dos países mais famosos por crimes cibernéticos. Matéria completa em: Beaches, carnivals and cybercrime: a look inside the Brazilian underground
- De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), o Brasil teve o triplo de ataques à segurança de redes em 2014. O Centro recebeu mais de um milhão de notificações de incidentes envolvendo computadores conectados à Internet, o que representa 197% a mais do que em 2013.
- Informações pessoais são compradas por golpistas em mercado clandestino A reportagem especial do Fantástico do dia 11/08/2013 revelou como os dados pessoais estão desprotegidos.
A seguir listarei os 4 problemas mais comuns que encontrei ao longo das minhas visitas e consultorias sobre cibersegurança nas organizações brasileiras:
1 - Falta de recursos financeiros
Muitas organizações alegam que não possuem recursos financeiros para investir em cibersegurança. Entretanto, ao invés das organizações se planejarem para implementarem processos e mecanismos de cibersegurança de acordo com sua realidade, muitas delas preferem usar o seguinte argumento: "não investimos em cibersegurança pois não é nossa prioridade" ou "a diretoria não apoia investimentos em cibersegurança, pois este tipo de investimento não traz ROI.
É responsabilidade dos gestores de TI e SI evidenciarem os riscos de negligenciar cibersegurança aos donos e gestores de negócio da empresa. Se necessário, solicitem que aos donos das empresas assinem cartas de riscos por optar em não investir em áreas importantes da cibersegurança, como:
2 - AusÊncia de profissionais de cibersegurança
A ausência de profissionais dedicados a cibersegurança dentro de uma organização implica em baixos níveis de investimento em cibersegurança: processos mal formulados e tecnologias precárias e insuficientes para combater o crime cibernético. Por isso, é necessário que cada organização designe um profissional ou um departamento responsável por segurança da informação. Caso a empresa seja pequena, ela deverá acrescentar esta função para um funcionário. Caberá a este funcionário elaborar um plano para melhorar a segurança da informação da organização - as limitações financeiras e estruturais devem ser respeitadas.
3 - Falta de colaboração entre as áreas
Muitas organizações possuem departamentos que não querem assumir ou dividir a responsabilidade por cibersegurança. Resultado: a cibersegurança fica esquecida dentro da organização. O CEO da empresa deve atribuir estas responsabilidades em um documento oficial. Neste documento ele deve relatar quais gestores serão responsáveis por cibersegurança, além de definir metas e resultados a serem cumpridos dentro da segurança da informação.
4 - Ausência de legislação
A maioria dos projetos implementados na área de segurança são motivados por alguma lei ou norma, já que muitas vezes o prejudicado não é a própria organização, mas sim terceiros(clientes ou outras empresas). Desta forma, sem nenhuma lei na área de segurança da informação, como a lei de proteção de dados pessoais, dificilmente a cibersegurança receberá os investimentos necessários. Desta forma, é de nossa responsabilidade revindicarmos a criação e aprovação de leis, além de participarmos ativamente com opiniões durante a elaboração do conteúdo destas leis. Acompanhe o projeto de Lei 4060/2012 - Proteção de Dado Pessoais.
O maior prejudicado pela falta de investimento em cibersegurança será sempre a sociedade.
Autor: Vinícius Perallis
Especialista em Cibersegurança