Na primeira parte deste texto, que você pode ler clicando aqui, apresentamos um panorama dos incidentes cibernéticos no mundo. O aumento de casos, principalmente de ataques de ransomware, alcançou um patamar nunca antes visto. No Brasil, especialmente, esse crescimento chegou a quase 900%, colocando o país na quarta posição do ranking de países que mais sofrem com invasões para sequestro de dados, atrás apenas de Reino Unido, Alemanha e Estados Unidos.
Com o entendimento dos perigos pelos quais as empresas estão expostas, já podemos discutir sobre as ações para combater este tipo de crime no ambiente empresarial. No episódio 25 do Fragmentos, o podcast da Accioly, Laufer Sociedade de Advogados, tratamos sobre condutas preventivas e reativas contra ataques cibernéticos, junto ao especialista Everson Probst, da Grant Thornton. Embora os ataques sejam considerados inevitáveis, a prevenção ainda é o ponto mais importante de uma estratégia de segurança da informação.
Durante o podcast, Probst destacou ações preventivas que contribuem para minimizar os riscos. “Em primeiro lugar, as empresas precisam se preocupar em conhecer o seu ambiente de tecnologia em detalhes. Muitas não têm nem ideia de como seus dados estão organizados. É preciso tomar consciência de que a informação é o bem de maior valor de uma organização. É necessário criar processos de governança robustos baseados em frameworks como o ISO 27001, que é uma família de ISOs inteira voltada à segurança da informação”. Mecanismos de autenticação robustos e a criptografia de arquivos são algumas das ferramentas que podem impedir a ação de um hacker.
Em uma situação de pós-ataque, a análise imediata é essencial. “Se o hacker consegue arquivos, é primordial que, no momento um, a empresa conecte-se com seu advogado, com seu encarregado de dados (DPO), caso você já o tenha, e traga contigo um time de especialistas em cibersegurança em resposta ao incidente, porque neste primeiro momento você precisa de um time te mostrando qual a extensão real do dano”, explicou. Ter um bom sistema de backup e de disaster recovery, que é a capacidade de restabelecer o ambiente, são outras estratégias de segurança importantes no caso de um ataque consolidado.
Avaliação
Passar por um criterioso processo de avaliação é fundamental para decretar com propriedade se a sua empresa está preparada, de fato, para prevenir e responder com rapidez e efetividade a um incidente. A Accioly, Laufer Sociedade de Advogados, em parceria com a consultoria Grant Thornton, atua com uma solução chamada de Avaliação de Capacidade de Resposta a Incidentes Cibernéticos, que analisa as vulnerabilidades e as ações de resposta a eventuais problemas.
Esta avaliação é dividida em três fases: mapeamento e análise, formalização e teste de efetividade. Em primeiro lugar, como o nome já indica, é realizado o mapeamento dos sistemas e aplicações utilizados no ambiente empresarial; as medidas existentes de segurança de dados; as restrições de acesso a dados; logs e eventos de sistema; e monitoramento de sistemas.
Em um segundo momento, é promovida uma análise da capacidade de prevenção e contenção de um possível ataque; da exposição e riscos de processos; dos processos de gestão; avaliação dos times de tecnologia e SI (sistemas de informação); e do time de advogados sobre os riscos criminais.
A segunda etapa consiste na formalização de processos, como o registro de incidentes e de um plano de resposta a um eventual incidente. Por fim, na terceira e última fase, é realizado o teste de efetividade com a simulação de registro de incidente de segurança; a avaliação da aderência às políticas de resposta; um teste controlado de incidente de dados e, por último, a validação de registros e logs do ambiente de informática.
Em face de um cenário de alerta e informado sobre as possibilidades de prevenção e combate, você já pode começar a responder a pergunta inicialmente proposta. Se essa já era uma preocupação e sua empresa possui o preparo necessário para encarar esse desafio, esta é uma boa notícia! Mas se a sua resposta for “não”, chegou a hora de agir.