Segurança cibernética, desafios atuais e como lidar com ataques cibernéticos foi o tema tratado durante o café da manhã da Comissão Técnica de Instituições Financeiras do IBEF-SP, realizado nesta terça-feira (11), na sede do Instituto. Rosangela Santos, líder da Comissão de Instituições Financeiras e diretora de Crédito e Operações no Banco Inbursa S.A., abriu o evento reforçando que esse é um assunto que veio para ficar.

“Esse tema é endereçado para o cidadão comum, para as autoridades e para as empresas. É de interesse e necessidade de todos. Ter uma capacitação mínima sobre segurança cibernética é importante, principalmente para quem está nas lideranças das organizações”, destacou Rosangela. O evento contou com a apresentação de Fernando Mitre, sócio da área de cybersecurity & privacy na PwC Brasil, e de Jacques Coelho, gerente regional do FS-ISAC (Financial Services Information Sharing and Analysis Center) para a América Latina e América Central.

Mitre apresentou os principais pontos a serem considerados ao se pensar em uma estratégia de segurança cibernética dentro das empresas. “O ecossistema digital ficou cada vez mais complexo e riscos cibernéticos precisam ser endereçados à agenda da alta administração das companhias. Esse alinhamento com altos executivos, administração, diretoria e gestores traz a força que o tema segurança da informação e segurança cibernética precisa”, disse.

Segundo pesquisa da própria PwC, 84% do foco estratégico de tecnologia entre CEOs está em cloud computing, o que mostra que a computação em nuvem está cada vez mais sendo utilizada dentro das organizações. Esse dado é um alerta para quem quer proteger suas informações. “O que está indo para nuvem? Pode ser uma informação de projeto, um arquivo grande, mas esse conteúdo é classificado? Informações são colocadas em ambientes onde as companhias não têm controle nenhum”, disse Mitre. “Empresas estão na nuvem, mas nem sempre controlam o que foi e o que não foi para lá. É preciso definir uma estratégia e modelos de governança de segurança considerando cloud computing“, afirmou.

LGPD e tratamento de dados – Mitre destacou a importância do cuidado no tratamento de dados e informações que circulam dentro de uma empresa, principalmente com a Lei Geral de Proteção de Dados (LGPD) nº 13.709/2018. A norma entra em vigor em agosto de 2020 e foi tema do café da manhã realizado pela Comissão Técnica de Controladoria e Contabilidade do IBEF-SP no final de maio.

“Qualquer tratamento de dado pessoal, além da proteção da informação, deve ter uma preocupação para que, no caso de um incidente, saiba-de de quem é esse dado e como vazou. Se não tiver o mapeamento do que ocorreu no vazamento, o problema se agrava”, alertou o executivo da PwC. Ele acrescentou que esse mapeamento inclui todos os relacionamentos digitais, as formas de compartilhamento de dados e terceirização de serviço. “Muita troca de informações é feita de forma desnecessária. Com a LGPD, a discussão sobre tratamento dos dados e privacidade deverá ser procedimento normal das empresas”.

Capacitação das equipes – A cultura de segurança começa e termina nas pessoas, segundo Mitre. “Antes de qualquer tecnologia, são as pessoas a primeira e última linha de defesa da proteção de dados”, ressaltou, enfatizando que ao se manter vigilante, é possível antecipar ataques ou saber tratar deles, sabendo de antemão quem são seus potenciais adversários. “Pode ser um hacktivista, o crime organizado, um Estado e ou uma Nação. Um vazamento pode ocorrer também por um insider ou até mesmo de maneira acidental, por um funcionário/terceiro mal treinado, alguém que enviou e-mail incorreto, ou por ataque de malware sem alvo”, continuou.

Compartilhamento de informações – Para facilitar a identificação de ataques mundialmente e saber o que é possível fazer para mitigar riscos, a FS-ISAC mantém uma rede de compartilhamento de informações sobre segurança cibernética. Jacques Coelho explica que a associação nasceu de uma iniciativa privada do setor financeiro americano em 1999, quando instituições se juntaram com entidades e agências governamentais para criar uma força-tarefa e ferramentas para compartilhar informações. “Hoje temos 7 mil membros”, disse.

Para Coelho, é importante incluir essa cultura de compartilhamento no Brasil, principalmente com o advento da Resolução nº 4.658 do Banco Central, de abril de 2018, que, entre outras coisas, prevê diminuir fragilidades das instituições financeiras quanto a incidentes. “As instituições devem defender melhor seus ambientes cibernéticos, mas antes disso, o Banco Central quer reduzir vulnerabilidades e controlar ataques, informações vazadas ou técnicas estratégicas contra redes”, explicou. Ele disse ainda que as instituições financeiras brasileiras podem se basear nas experiências internacionais para classificar os níveis de risco de suas informações e possíveis incidentes. “Isso ajuda as empresas a desenharem suas políticas de segurança cibernética”.

Estratégia de ciber inteligência – Para a gestão de segurança cibernética, é preciso ter análise de inteligência e resposta a incidentes, com pessoas que possam suportar isso para que a equipe de TI aja rapidamente. “Relatórios técnicos sobre ameaças ajudam a equipe de segurança. Quando um ataque novo vem à tona, analisando o histórico, o técnicos de TI vão observar que todos são bem parecidos, apenas com alguma vertente incluída, mas as vias normalmente ocorrem da mesma forma”, disse Coelho. “Sugerimos, para a sua companhia ter essa sinergia, criar cyber-intelligence mailing lists, ou seja, listas de email em que você pode compartilhar informações sobre cibersegurança. Membros do mundo inteiro compartilham essas informações. É importante fazer parte de um sistema global com pessoas aprovadas pelos chefes de segurança da informação mundiais”.

Coelho disse também que para essa troca de informações avançar, é preciso criar um portal único em que todas as pessoas do setor financeiro compartilham informações. “Se você já tiver uma equipe para identificar ataques cibernéticos, compartilhe isso dentro de um portal seguro para que a comunidade inteira fique sabendo. O compartilhamento por meio de webinars e treinamentos também é válido. Preparar equipe e profissionais para se acostumarem com exercícios cibernéticos e melhorarem sua resiliência os deixa antenados e gabaritados para que possam otimizar ainda mais suas defesas internas”, ressaltou Coelho.

Custos dos ataques – Por fim, os profissionais alertam que segurança cibernética é um investimento imprescindível para as companhias. Rosangela Santos destacou que o custo global dos ataques cibernéticos já ultrapassa US$ 600 bilhões. “Quanto ao risco de imagem, se tentarmos mensurar o custo disso, são cifras bilionárias. Agências de rating já estão rebaixando empresas fora do Brasil por conta da vulnerabilidade ao risco cibernético. Essa área vai ganhar cada vez mais relevância”, disse.

Fernando Mitre acrescentou que a movimentação de capital que ocorre hoje com informações vazadas é maior que o mercado de drogas. “Na prática, um ponto importante é ter pessoas que saibam sobre o tema e conheçam segurança da informação. Há uma dificuldade em identificar essas pessoas e retê-las nas empresas. É preciso ter um plano estratégico para o tratamento da segurança cibernética dentro da instituição”, ressaltou Mitre.

Jaques Coelho reforçou que o custo de não ter um planejamento contra ataques pode ser mais caro do que investir em segurança. “Os profissionais que cuidam da área de segurança são heróis, pessoas muito capacitadas. Há uma crescente preocupação dos profissionais em se atualizarem sobre aspectos regulatórios”, reiterou.

(Reportagem: Bruna Chieco)