1. Introdução
Em um mundo cada vez mais digital e interconectado, a segurança cibernética se tornou uma preocupação essencial para as empresas. A crescente quantidade de incidentes criminosos, como ataques cibernéticos, vazamentos de dados e ransomware, destacam a importância de proteger os meios digitais e os ativos das empresas.
O crescimento da quantidade de ocorrências de segurança anotadas nas redes de comunicação tem gerado inquietação entre os especialistas da área e utilizadores. Os invasores atuam impulsionados por diversas motivações, tais como: buscar fama, adquirir informações de contas bancárias e cartões de crédito, exercer pressão sobre grandes empresas ou governos para atender suas demandas e enfraquecer nações adversárias (DEVMEDIA, 2023).
No ano de 2022, diversas organizações – dos setores privado e público - tiveram impactos com incidentes de segurança da informação, em que houve o comprometimento da confidencialidade, integridade ou disponibilidade de informações, como demonstra a linha do tempo na Figura 1 (IBRASPD, 2022):
Figura 1. Timeline de Incidentes Relevantes 2022 - principais incidentes com repercussão na mídia ocorridos no ano de 2022.
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) também publica, periodicamente, comunicados e alertas sobre vulnerabilidades identificadas: https://www.gov.br/ctir/pt-br .
Segundo Estatísticas do CERT.br (2023), foram reportados, somente em 2023 (período entre os meses de janeiro a maio), 272.595 incidentes, conforme Figuras 2 e 3.
Figura 2. Notificações recebidas em 2023.
Figura 3. Tipos de incidentes notificados.
No Brasil e em todo o mundo, alguns dos incidentes criminosos mais comuns que prejudicam empresas em meios digitais são:
- Ataques de phishing: Os ataques de phishing são tentativas de enganar os usuários para que revelem informações confidenciais, como senhas e dados de acesso, através de e-mails falsos ou sites fraudulentos. Esse tipo de ataque visa obter acesso indevido a sistemas e informações sensíveis das empresas.
- Ransomware: O ransomware é um tipo de malware que bloqueia o acesso a sistemas ou criptografa dados e exige um resgate para liberá-los. Empresas são frequentemente alvo de ataques de ransomware, causando perda de acesso a dados importantes e impactando suas operações.
- Vazamento de dados: O vazamento de dados ocorre quando há transmissão não autorizada de dados de dentro de uma organização para um destino ou recipiente externo. O termo pode ser usado para descrever dados que são transferidos eletronicamente ou fisicamente. Pode ocorrer de forma acidental ou intencional (pela ação de agentes internos, pela ação de agentes externos ou pelo uso de software malicioso;
- O vazamento de dados pode ter graves consequências para as empresas, incluindo danos à reputação, perda de confiança dos clientes e possíveis implicações legais.
- Ataques de negação de serviço (DDoS): Os ataques de negação de serviço visam sobrecarregar um sistema ou rede, tornando-o inacessível aos usuários legítimos. Isso pode resultar em interrupção das operações (serviço, dispositivo ou rede) e perda de receita para as empresas.
É importante ressaltar que a natureza dos incidentes criminosos está em constante evolução, e novas ameaças surgem regularmente. Portanto, é crucial que as empresas estejam atualizadas sobre as tendências e adotem medidas de segurança adequadas para proteger seus ativos digitais.
Investir em governança e compliance digital é essencial para proteger a reputação e imagem de uma organização. Ao demonstrar compromisso com a proteção de dados e privacidade por meio de ações preventivas, a empresa transmite uma imagem positiva de responsabilidade e confiabilidade.
Segundo relatório da Allianz "Barômetro de Riscos – Os maiores de 2023: riscos empresariais importantes mundialmente” (AGCS, 2023), baseado na visão de 2.712 especialistas em gerenciamento de riscos de 94 países e territórios, identificou que dentre os maiores riscos empresariais estão:
1º) Incidentes cibernéticos (por exemplo, crimes cibernéticos, malware/ransomware causando tempo de inatividade do sistema, violação de dados, multas e penalidades) – 34%
Importante observar que os incidentes cibernéticos têm classificação superior à interrupção dos negócios com base no número real de respostas.
2º) Interrupção de negócios (incluindo interrupção da cadeia de suprimentos) - 34%
3º) Desenvolvimentos macroeconómicos (e.g. inflação, deflação, políticas monetárias, programas de austeridade) - 25%
4º) Crise de energia (por exemplo, escassez/interrupção de fornecimento, flutuações de preços) - 22%
5º) Mudanças na legislação e regulamentação (por exemplo, guerras comerciais e tarifas, sanções econômicas, protecionismo, desintegração da zona do euro) – 19%
Ressalta-se que as mudanças na legislação e regulamentação são mais altas do que catástrofes naturais com base no número real de respostas.
6º) Catástrofes naturais (por exemplo, tempestade, inundação, terremoto, incêndio florestal, eventos climáticos extremos) - 19%
7º) Mudanças climáticas (por exemplo, riscos físicos, operacionais e financeiros como resultado do aquecimento global) - 17%
8º) Escassez de mão de obra qualificada - 14%
A escassez de mão de obra qualificada é compreendida como um risco superior a incêndio, explosão com base no número real de respostas.
9º) Fogo, explosão - 14%
10º) Riscos políticos e violência (por exemplo, instabilidade política, guerra, terrorismo, comoção civil, greves, motins, saques) - 13%
Ao priorizar o tema, a organização estabelece um diferencial em relação à concorrência. Isso atrai stakeholders que valorizam a privacidade e segurança da informação, fortalecendo a confiança dos clientes, fornecedores e parceiros de negócio.
Esse compromisso pode ser um fator decisivo para a escolha dos clientes em relação a fornecedores e parceiros de negócio.
2. Principais desafios enfrentados pelas organizações
As empresas estão cada vez mais preocupadas com as vulnerabilidades nos meios digitais, pois estão expostas a diversos tipos de ameaças, como ataques cibernéticos, violações de dados e roubo de informações confidenciais. Algumas das principais preocupações das empresas em relação à segurança digital incluem:
1. Proteção de dados: As empresas estão preocupadas em garantir a segurança e a privacidade dos dados dos clientes, parceiros comerciais e funcionários. Isso envolve a implementação de medidas de segurança, como criptografia de dados, controle de acesso, políticas de segurança robustas e conformidade com a legislação de proteção de dados, como a Lei Geral de Proteção de Dados Pessoais - LGPD e internacionais (a depender da atuação da empresa).
2. Segurança de rede: As empresas dependem de redes e sistemas de TI para operar e armazenar informações críticas. Eles estão preocupados com a proteção contra ataques de hackers, malware, ransomware e outras ameaças que possam comprometer a integridade e a disponibilidade dos sistemas de TI.
3. Gerenciamento de identidade e acesso: O controle de acesso adequado aos sistemas e dados é fundamental para evitar violações de segurança. As empresas estão preocupadas em implementar soluções eficazes de gerenciamento de identidade e acesso, como autenticação multifatorial, para garantir que apenas usuários autorizados tenham acesso às informações confidenciais.
4. Conformidade regulatória: As empresas estão cada vez mais sujeitas a regulamentos relacionadas à segurança cibernética e privacidade de dados, dependendo da região e do setor em que atuam. Elas precisam garantir que estejam em conformidade com as leis e regulamentos relevantes e que tenham políticas e procedimentos adequados em vigor para proteger suas informações e as informações de terceiros.
Conclusão
Em um mundo cada vez mais digital e interconectado, a contratação de assessoria jurídica preventiva para lidar com possíveis problemas nos meios digitais é de suma importância. A crescente quantidade de incidentes criminosos destaca a necessidade de proteger os meios digitais e os ativos das empresas.
Investir em governança e compliance digital é essencial para proteger a reputação e imagem de uma organização. Ao demonstrar compromisso com a proteção de dados e privacidade por meio de ações preventivas, as empresas transmitem uma imagem positiva de responsabilidade e confiabilidade, o que pode ser um fator decisivo na escolha dos clientes em relação a fornecedores e parceiros de negócio.
______________
(AGCS), A. G. (2023). Allianz Risk Barometer 2023 - The most in 2023:business risks importante global. Fonte: https://www.agcs.allianz.com/news-and-insights/reports/allianz-risk-barometer.html#download
CERT.br. (2023). Incidentes Notificados ao CERT.br - Incidentes notificados voluntariamente ao CERT.br por CSIRTs, administradores de redes e usuários finais. Fonte: https://stats.cert.br/incidentes/
DEVMEDIA. (s.d.). Métricas de segurança - Revista Infra Magazine 9. Fonte: https://www.devmedia.com.br/metricas-de-seguranca-revista-infra-magazine-9/26786
IBRASPD Instituto Brasileiro de Segurança, P. e. (2022). Principais Incidentes com repercussão na mídia ocorridos no ano de 2022. IBRASPD. Fonte: https://www.ibraspd.org/incidentes
Institucional, P. d. (s.d.). Portaria GSI/PR nº 93, de 18 de outubro de 2021 - glossário de segurança da informação. Fonte: https://www.in.gov.br/en/web/dou/-/portaria-gsi/pr-n-93-de-18-de-outubro-de-2021-353056370