Estima-se que, somente em 2020, tenha havido um aumento de 350% no número de ataques cibernéticos em todo o mundo. De acordo com o relatório da SonicWall, empresa especializada em segurança cibernética, foram registrados mais de 304 milhões de ataques cibernéticos em todo o mundo, enquanto a Kaspersky apontou que foram registrados mais de 1,5 bilhão de ataques cibernéticos.
E a cada ano que se passa os números vão aumentando quase que em progressão geométrica.
De acordo com informações recentes, extraídas do relatório de threat intelligence da FortiGuard Lab, laboratório de segurança cibernética da Fortinet Brasil, o Brasil foi o segundo país mais atingido por tentativas de ataques cibernéticos da América Latina durante o ano de 2022.
Ao todo, foram identificados pelo menos 103,16 bilhões de investidas de cibercriminosos no país, o que representa um aumento de 16% na comparação com o ano de 2021, quando foram registrados 88,5 bilhões de tentativas de ataques.
Os setores mais afetados pelos ataques são variados, tendo um amplo número de ataques contra agências e empresas ligadas ao governo, enquanto que no setor privado, o pódio fica com a educação, o varejo e a área de saúde.
Normalmente, esses ataques podem trazer prejuízos financeiros, perda de dados e até mesmo podem danificar a reputação da empresa afetada. Por isso, é fundamental que as empresas adotem boas práticas e regras de governança aplicada em segurança da informação para blindar seu negócio de ciberataques.
A segurança da informação está intimamente relacionada com a adoção de práticas, processos e tecnologias visando proteger os ativos de uma organização contra incidentes que atentem contra a confidencialidade, integridade e disponibilidade das informações, tais como acessos não autorizados, uso indevido, roubo, alteração ou destruição da informação, que pode ou não envolver dados pessoais.
Para tanto, é importante adotar um Programa de Governança que envolva a implementação de políticas e procedimentos para proteger o principal ativo da empresa: a informação.
A informação pode ser considerada confidencial quando referir-se aos segredos comerciais ou de propriedade intelectual, informações de registros financeiros, entre outras. Agora, quando esta informação for qualificada a ponto de poder identificar ou tornar identificável uma pessoa natural, ela será considerada como um dado pessoal e fará com que incida as disposições da Lei Geral de Proteção de Dados (LGPD).
Neste contexto pode-se incluir informações como nome, data de nascimento, endereço, números de documentos, telefone, e-mail, fotografia ou qualquer outra informação que permita a identificação de uma pessoa.
Assim, de modo geral, quando houver a utilização de dados pessoais na atividade empresarial, a LGPD determina que os agentes de tratamento implementem medidas técnicas, organizacionais e físicas adequadas, para mitigar o risco de algum tipo de incidente de segurança que possa violar estes dados.
Deste modo, é importante a implementação de uma cultura de privacidade e segurança da informação para garantir que todos os funcionários estejam conscientes da sua participação no processo de preservação dos ativos, visando mitigar os riscos que podem estar associados aos ciberataques.
LEIA TAMBÉM:
- Sanções por descumprimento da LGPD pode atingir o setor de saúde
- Cibersegurança: tendências e desafios para 2023
As chamadas medidas de segurança física, técnicas e organizacionais são diferentes abordagens que podem ser usadas para proteger as informações, sistemas e recursos da empresa contra ameaças cibernéticas.
Medidas de segurança física são as que buscam proteger os recursos físicos da empresa, como servidores, equipamentos de rede e dispositivos de armazenamento, por exemplo; as técnicas são as que envolvem o uso de tecnologias e são úteis para proteger os recursos da empresa contra ameaças cibernéticas; por fim, as organizacionais envolvem a gestão de pessoas e organização de fluxos e processos.
Para cada tipo de situação é necessário a implementação de um tipo adequado de medida. Isso significa que a adoção de criptografia não vai proteger uma pasta que fica armazenada em um arquivo físico no corredor principal. Para espaços físicos devem ser adotadas medidas físicas e para o ambiente tecnológico é necessário implementar medidas técnicas.
Já a utilização de medidas organizacionais é recomendável para indicar o comprometimento da organização com uma gestão focada em boas práticas e governança corporativa.
Isso envolve a realização de treinamentos regulares para os funcionários, a implementação de políticas de segurança da informação que estabeleçam as responsabilidades de cada um na proteção das informações e o gerenciamento das vulnerabilidades, possibilitando a realização de testes de segurança periódicos.
Como a tecnologia tem avançado diariamente, os malwares e ameaças cibernéticas também estão se reinventando, de modo que a versão do antivírus de hoje pode não ser suficiente para proteger os dispositivos amanhã. Ter o acompanhamento de uma assessoria especializada em cibersegurança permite identificar eventuais falhas de segurança e corrigi-las antes que os hackers possam explorá-las.
O valor aplicado em segurança da informação deve ser visto pela empresa como um investimento e não como um custo. A implementação de boas práticas de segurança da
informação pode trazer diversos benefícios para a empresa, como a redução dos riscos de ciberataques, a proteção da reputação da empresa e a garantia da continuidade dos negócios em caso de incidentes de segurança.
Ao adotar essas práticas, as empresas estarão mais preparadas para enfrentar os desafios do mundo digital e proteger suas informações contra os ciberataques cada vez mais frequentes.
A melhor maneira para prover a segurança da informação é através de soluções e práticas tecnológicas para combater os riscos dos ambientes digitais.
Adicionalmente, sugere-se aos usuários dos serviços digitais que nunca seja compartilhado publicamente informações que não gostariam que tornar-se de conhecimento público; que as postagens em redes sociais sejam limitadas para grupos específicos com outras pessoas que já fazem parte da sua rede pessoal; e que redobre-se a atenção às funcionalidades básicas de segurança que já existem em redes sociais e outros serviços como, por exemplo, a habilitação da autenticação multifator.
O fato de a empresa investir na implementação de medidas de segurança não é garantia de que um incidente não vá acontecer. Contudo, este comportamento será levado em consideração pela Autoridade Nacional de Proteção de Dados (ANPD), na eventualidade de abertura de um processo administrativo fiscalizatório para a apuração da responsabilidade do agente de tratamento.
Nesse sentido, a comprovação da adoção de boas práticas e a implementação de uma governança em privacidade e proteção de dados é requisito essencial para atenuar uma possível sanção e ser fundamental para blindar a empresa de ciberataques.