O segundo dia de Sest Senat Summit começou com “artilharia pesada”, como os ouvintes destacaram. O assunto sobre cibersegurança normalmente causa esta dificuldade, porque a maioria das organizações não atendem os múltiplos quesitos necessários de segurança da informação.
Às vezes são questões de alguma “ponta solta” e é exatamente por este motivo que a palestra contou com Cláudio Martinelli, Diretor LATAM da Kaspersky, especialista em segurança digital. E não foi diferente: o painel se iniciou com uma aula sobre possíveis ataques, que podem acontecer nas réguas de energia, carregadores portáteis e até sistemas de centrais de transporte.
Toda esta questão é levantada porque os ataques e danos de crime digitais acontecem o tempo todo, segundo o especialista. Quase a metade das empresas hoje no Brasil demoram mais de um dia para descobrir que houve algum tipo de tentativa de ataque. 48% delas descobrirão apenas depois de 24h, podendo levar meses ou nunca descobrirem que houve uma tentativa.
Além disso, vazamentos de dados geram prejuízo médio de R$5,8 milhões, porém, o preço varia, pois nem sempre há backup para retomar em algum ponto em que o processo estava constituído. Nesse sentido, Cláudio deu destaque para onde nossas atenções necessariamente precisam estar voltadas, dando dicas sobre estes processos de proteção de informações, tão cruciais para as organizações neste mundo atual imerso na digitalização.
Da cibersegurança para a ciberimunidade
Neste momento da nossa história, é difícil acompanhar tamanhas mudanças e exigências que o mundo digital anda nos proporcionando. Por isso, pensando na segurança da informação, é necessário fazer uma passagem da segurança para a imunidade.
Tal como nosso corpo, é necessário criar já barreiras protetoras. O conceito de ciberimunidade (Cyberimmunity) se trata de deixar o sistema não convidativo aos ataques digitais. Ou seja, tornar o ataque não rentável para quem o mira e inútil por sua insistência à grandes barreiras.
A ideia é cada vez mais fazer fortalezas e impedir que este desenvolvimento seja possível. Porém, além das questões instrumentais, o especialista em segurança digital atentou o público sobre os pilares da inteligência e treinamento.
Afinal, não existe uma solução para todos. É preciso conhecer o inimigo e procurar uma solução ideal para o seu sistema. Olhar o risco da infraestrutura, dos sistemas, quais são mais valiosos e rentáveis, entender como pode ser mais efetiva uma segurança no decorrer da análise e quais os primeiros passos a serem dados.
Além disso, e Cláudio Martinelli dedicou grandes minutos neste ponto, é tratar sobre a questão do treinamento. É fundamental que possam ter equipes técnicas capacitadas além do T.I.
Esta área é necessária como parte do planejamento, onde consegue dar as melhores avaliações dos riscos e estão a par das respostas necessárias caso haja alguma questão.
Além disso, conseguem comunicar o problema, traduzindo em uma linguagem acessível, enquanto dão continuidade no negócio, remediando a situação.
Este setor consegue tratar de antemão todas estas situações e mais algumas outras questões. Afinal, é necessário que a própria organização tenha o padrão antes do incidente, visando redução de danos, por isso, é importante ter pessoas que conheçam os dados e o cenário da empresa.
Porém, a questão central é a frágil situação dos usuários/colaboradores.
O usuário precisa, necessariamente, de um treinamento, inclusive os terceirizados. As práticas de segurança precisam ser consistente e estarem na linguagem de todos os colaboradores da organização.
É necessário treinar todos os dias, porque a retenção de conhecimento, em 1 semana, cai em 80%. Cláudio deu ideias de ministrar pílulas de conhecimento em cada acesso e relembrar algumas condutas que não deem brecha para que uma invasão aos dados ocorra.
Em sua palestra, destacou a importância de:
- Utilizar apenas equipamentos controlados pela segurança de dados;
- Buscar senhas de acessos que não sejam parecidas com as senhas particulares de cada usuário;
- Construir uma alfabetização e letramento digital para os usuários, em todos os meandros da cadeia de produção;
- Mapear os possíveis vetores de ataque e quais são as principais áreas de foco de treinamento.