Quando o assunto é o risco de ataques cibernéticos, as empresas parecem ainda viver na realidade do século XX. Mas, uma série de situações tem obrigado seus líderes a trazerem esse tema para a pauta de negócios da empresa imediatamente
Quem tem um pouco mais de idade deve ter vivido essa situação. Você precisa fechar um relatório para enviar ao seu chefe e, sem nenhum motivo aparente, o computador trava. Impotente diante daquela máquina bem mais sofisticada que você, não resta outra alternativa a não ser pedir ajuda aos “meninos” da TI. Ok. Por muito tempo, nem TI existia. A gente chamava o cara da informática mesmo. E, isso era feito com muita frequência. Ah! A demanda costumava ser tanta que o atendimento podia demorar horas. E, não havia ninguém capaz de resolver o problema. Era um verdadeiro “apagão”.
Passados não muitos anos, a realidade mudou completamente. Situações como as mencionadas acima, embora ainda aconteçam, são bem menos traumáticas e muito mais fáceis e rápidas de serem resolvidas. A própria tecnologia de computação evoluiu tanto em tão pouco tempo que as máquinas e sistemas são muito mais robustos e confiáveis para rodarem longos períodos sem requerer grandes manutenções.
NÃO SÃO AS MÁQUINAS, SÃO OS HOMENS
Mas, se as máquinas estão mais confiáveis hoje, do ponto de vista da robustez do equipamento, os usuários foram na direção oposta. E, são vários os motivos para isso. O mais óbvio é que o acesso à tecnologia, hoje, é muito mais disseminado e intenso, e se dá em diferentes plataformas: desktops, notebooks, tablets e, principalmente, smartphones.
As redes sociais são hoje onipresente na vida das pessoas, que expõem ali muito da sua intimidade, seus hábitos e gostos. Empresa como o Google e o Facebook também captam todas as suas movimentações na rede para direcionar a publicidade das empresas nas suas plataformas. Muito em função disso é que as empresas de varejo e bens de consumo dizem que “data is the new oil” (dados são o novo petróleo, numa tradução livre e que demonstra o potencial de riqueza que esses dados podem gerar para os negócios em diferentes áreas).
Além disso, novidades como a computação em nuvem permitem às empresas disponibilizarem todas as informações e documentos necessários ao dia a dia dos negócios da empresa acessíveis a todo mundo, estejam onde estiverem. Essa disponibilidade é fundamental para garantir a flexibilidade e a mobilidade dos funcionários da empresa. Afinal, o dinheiro está na rua. E, é da rua que eles acabam acessando essa nuvem. Não raro, os usuários desses equipamentos vão conectá-los a redes estranhas, públicas, sem nenhuma grande preocupação com a segurança. Isso por si só já configura um problemão. E, por mais que os departamentos de TI possam fazer recomendações, na hora em que o cidadão precisa desesperadamente acessar uma informação na rede, ele não vai se preocupar em avaliar se a rede que ele está acessando é segura. Ele quer a senha do wi-fi e pronto.
Num sistema que engloba tecnologia (hardwares e softwares), processos e pessoas, os cibercriminosos costumam explorar o elo mais fraco da cadeia, a gente. “O ponto chave é que não é TI, não é hardware. São as pessoas”, descreve Paulo Pagliusi, diretor de Serviços de Cyber Risks da Deloitte. O especialista explica que, como as pessoas estão cada vez mais expostas, é mais fácil de elas serem estudadas pelos criminosos, que vão encontrar nelas as brechas que precisam para perpetrar um ataque maior contra a empresa na qual a pessoa trabalha.
A prevenção contra ataques cibernéticos passa por tecnologia sim. Bons sistemas de segurança como firewalls e antivírus são ferramentas fundamentais. Mas, a grande maioria dos ataques, de malware ou de vírus, que vão capturar informações de dentro da empresa é iniciada por meio da engenharia social. “Esquecemos de que, no final das contas, o cyber tem a ver com pessoas. O hacker é uma pessoa, a vítima manipulada é uma pessoa”, explica Daniel Woods, da Control Risks, empresa especializada em gestão de riscos. “É claro que tem o lado técnico, mas tem o lado social, como os funcionários da empresa agem, se se esquecem de atualizar o computador… Assim como o funcionário não deve deixar a porta destrancada da empresa, ele tem responsabilidade também e deve seguir protocolos básicos na área de segurança cibernética. Quando você quer falar de cyber risks, as pessoas tendem a achar que não tem nada a ver com elas, que quando acontece um problema ‘não é minha culpa’”, emenda.
Um hacker acha uma brecha no sistema da empresa e ele quer introduzir um vírus. O primeiro passo do seu trabalho, e talvez o passo mais difícil, é encontrar uma falha humana. Os cibercriminosos estão ficando mais sofisticados e monitoram os alvos que servirão de “porta de entrada” para o sistema da empresa, incluindo aí altos executivos com níveis de acesso mais elevados dentro das organizações. E, embora os criminosos mirem em vários dispositivos, ataques direcionados ao comprometimento do e-mail empresarial continuam sendo um dos métodos favoritos dos criminosos, de acordo com o especialista da Deloitte. “Se a ideia é roubar um segredo industrial, uma propriedade intelectual, os criminosos elegem 20 pessoas na corporação, por exemplo, fazem um filtro nesses nomes e chegam a uma lista de cinco nomes. Depois, um grupo de três hackers faz um trabalho de inteligência para descobrir mais informações sobre esses indivíduos. Quando lançam o ataque, ele é tão sofisticado que a pessoa não percebe. Como se ele estivesse recebendo uma informação de uma pessoa que conhece, manda uma planilha com o malware. E, assim eles alcançam o objetivo, o vazamento de informações”, explica Paulo.
Outro problema moderno e que precisa ser endereçado quando o assunto é a segurança das informações são os terceiros que acessam aos sistemas da empresa – um risco que assim como aflige os profissionais de compliance, aflige também quem lida com segurança da informação. “As organizações devem reconhecer o risco muito real representado por terceiros como fornecedores, prestadores de serviços e parceiros de negócios”, disse a empresa de serviço de compliance e segurança Kroll, em comunicado atualizando os efeitos dos recentes ataques de ransomware. Para a empresa, no mínimo, é necessário rever todos os processos de gerenciamento de risco dos fornecedores, instituindo controles que reduzam potenciais vulnerabilidades no sistema.
Os recentes ataques de ransomware WannaCry e NotPetya ganharam repercussão global e deixaram exposta a vulnerabilidade das empesas em relação à segurança da informação. Grupos de hackers sequestraram HD´s e sistemas ao redor do mundo exigindo o pagamento equivalente a US$ 300 que deveriam ser pagos em Bitcoins. O valor baixo do resgate e a inabilidade dos criminosos para criarem mecanismos de contatos levantaram suspeitas se os ataques tinham objetivos financeiros ou políticas (ou coisa mais obscura). Independentemente do motivo, o fato é que sem encontrar uma cura, restou as empresas que não pagaram (ou não conseguiram contatar seus sequestradores), recorrer às suas cópias de backup para recuperarem suas informações criptografadas. Essa situação também demonstrou que muitas dessas empresas tem pouco controle sobre a gestão da informação. “Os dados mais críticos para o negócio foram afetados? Havia cópias? Se sim, qual foi a abrangência? Onde essas cópias estão armazenadas? Não ter essa informação pode ter significado pagar o resgate ou sofrer perdas irreparáveis para sua empresa”, disse Guilherme Acácio, em um artigo preparado pelo Comitê de Investigações Corporativas da LEC. “Informações são os ativos mais importantes de qualquer empresa, mas os recentes acontecimentos do cenário global e nacional demostram que as empresas ainda não enxergam a relevância da governança da informação para o negócio. O que fica cada vez mais evidente é que as empresas terão de começar a enxergar mais a governança da informação como algo necessário para sustentação do negócio e menos como algo opcional”, complementa.
PROBLEMA DE TI? NÃO. PROBLEMA DO NEGÓCIO
Por muito tempo, a questão da segurança da informação era tratada como algo estritamente técnico, restrito ao TI, que buscava implementar procedimentos de segurança e instalar sistemas que eram odiados pelos outros funcionários da empresa. A preocupação com a segurança se tornava um problema. Além disso, a maior preocupação dos profissionais de TI sempre foi a de garantir a disponibilidade do sistema, para que os funcionários da empresa tivessem acesso às informações das quais precisavam para fazer os negócios, aumentando a agilidade e a produtividade das equipes. Nós últimos anos, com a digitalização de muitos setores da economia, a área de TI passou a desempenhar um papel bem mais estratégico, incluindo aí como integrar a tecnologia entre toda a cadeia de negócios e usar as diferentes plataformas digitais para alavancar mais vendas. Mas, a segurança da informação continuava sendo algo relegado a segundo plano, exceto em casos muito específicos, como as instituições financeiras, que nunca tiveram outra alternativa que não a de cuidar muito bem da segurança da informação dos seus correntistas.
Isso começou a mudar agora, não só por conta da repercussão de ataques como o Wanna Cry e o NotPetya, mas também pela maior frequência de aplicação de multas pesadas pelos reguladores do mundo todo em casos de vazamento de dados de clientes, somada a mudanças na regulação de proteção de dados em diversos países do mundo, especialmente na Europa, que está implementando regras bem mais severas, para que as empresas garantam a proteção dos dados de cidadãos europeus, além de pressões crescentes de diferentes grupos da sociedade, preocupada com a privacidade das pessoas numa era onde a exposição ostensiva parecer ser a regra. Tudo isso, em conjunto, parece ter acendido de vez a luz para o quão impactante é a questão de proteção dos dados para os negócios de uma empresa, e não apenas para o pessoal de tecnologia.
Pegue qualquer relatório ou material sobre tendências da área de Compliance para o ano e você verá que há, pelo menos três anos, cyber risks é um tema presente. “Cyber segurança hoje é área multidisciplinar e envolve todos os setores. Todo mundo depende de tecnologia”, lembra Paulo Pagliusi, da Deloitte. O especialista acredita que muitas empresas estão com a visão do século XX, de que esse não é problema para ser discutido pelo board da companhia, de que é coisa de TI. Mas, isso é um problema do board sim. “Um ataque cibernético bem sucedido pode levar as empresas a problemas bem sérios, que podem comprometer o futuro delas. Olhar de forma mais profunda para o ataque cibernético. Elas não estão dando atenção aos grandes riscos que deveriam ser alvos de atenção”, acredita Paulo. “Ainda existe o pensamento de que, para qualquer questão de cyber, vamos chamar TI. É perigoso porque isso mostra uma falta de compreensão do pessoal de negócios sobre a questão dos riscos cibernéticos”, reforça Daniel, da Control Risks.
O chefe do principal regulador do mercado de capitais norte-americano disse que as empresas negociadas publicamente no país devem descrever melhor os riscos que a ciberssegurança enfrentam. “Tenho a sensação de que o público investidor norte-americano não entende os riscos substanciais que enfrentamos sistematicamente por questões cibernéticas”, afirmou à agência de notícias Reuters, Jay Clayton, chefe da SEC, a comissão de valores mobiliários dos Estados Unidos. “Eu gostaria de ver uma melhor divulgação em torno disso.” A SEC já exige que as empresas relatem incidentes cibernéticos que possam ter impacto nas finanças corporativas. No ano passado, além disso, a SEC sinalizou uma abordagem mais prática para revisar práticas de privacidade e proteção de dados em todas as empresas de capital aberto.
Assim como também aconteceu (e ainda acontece) com a área de Compliance, é consenso entre os profissionais especializados na área de segurança, de que as empresas ainda não avaliam de forma correta os impactos financeiros de um ataque cibernético, mensurando inclusive os impactos intangíveis, como a desvalorização de uma marca após um ataque no qual ela tenha perdido dados. “O pessoal olha o horizonte de curto prazo, quando deveria olhar para um período de cinco anos. Só se olha para 5% do impacto financeiro quando vai envolver o custo. Não se olha o impacto de ruptura operacional, aumento do custo de crédito, perda de clientes. Isso tudo não é considerado, o valor de uma propriedade intelectual e as empresas não levam isso em conta”, pontua Paulo. “Poderíamos adicionar uns 100 outros custos que seriam difíceis mensurar num primeiro momento e que poderiam ocorrer caso outros riscos, como danos reputacionais e custos legais, fossem materializados”, corrobora Guilherme, no artigo preparado pelo Comitê de Investigações Corporativas da LEC.
Por bem ou por mal, o mais importante nesse caso é que os líderes das empresas estão aos poucos passando a atentar para esse ponto como algo crítico para o sucesso (ou como fonte de grandes dores de cabeça, no mínimo), do negócio. “Os executivos entendem que precisam fazer alguma coisa, mas não sabem o que fazer”, conta Daniel Woods, da Control Risks. A empresa, especializada em questões de análise e gerenciamento de riscos, tem sido sondada com mais frequência por companhias que já investiram nos equipamentos, na estrutura, mas que ainda assim sofreram o ataque. “Eles querem saber como fazem para se defenderem melhor”, diz Daniel, para quem nessa hora, é preciso entrar com uma perspectiva abrangente do tema.
CIO X CSIO: ESCOPOS MUITO DIFERENTES
Embora até aqui toda a atenção tenha sido dada ao pessoal de TI, área na qual o CIO (chief infomation officer) é o grande comandante, um outro cargo identificado por letrinhas tem emergido nas empresas e ganhado relevância à medida em que os riscos de cyber ataques se tornam realidade presente e evidente no mundo corporativo, o CSIO, Chief Security Information Officer. Esse cargo – conforme sua própria denominação – tem um escopo de atuação bem mais focada, complementar certamente ao do CIO, mas também antagônico em algumas situações. “A função do CIO é de assegurar o acesso à informação por meio de dispositivos tecnológicos. O papel dele é manter o parque tecnologia da empresa atualizado, garantir a disponibilidade das informações para as equipes e o acesso à tecnologia”, diz Daniel Woods, da Control Risks. “Já a perspectiva do CSIO é a da vulnerabilidade do sistema, de garantir a segurança. Ele não tem de garantir que o equipamento esteja funcionando. Ele tem de garantir que não se abram brechas para eventuais ataques”, explica.
Nesse novo contexto, ao mesmo tempo em que ganha mais importância, a atuação do CSIO tem mudado para um perfil mais estrategista. O antigo guardião da informação, que simplesmente implementava a segurança por meio de tecnologia, numa versão digital do velho esquema “cara- crachá” e cuja meta era passar pela auditoria ficou no passado. E, isso é um bom exemplo da importância de cindir a função de CSIO da do CIO, que foi, historicamente, o responsável pela segurança da informação da empresa, dando a ela esse aspecto mais de tecnologia, inclusive. O que é natural, dada a sua expertise. Muito se discute se ele deve estar, ou não, subordinado ao CIO, embora essa seja uma discussão ainda não resolvida em nenhum lugar do mundo.
O novo CSIO é um tipo de general counsel para o processo de inovação e tecnologia, um conselheiro das unidades de negócios, que se preocupa em alinhar o risco cibernético do ponto de vista estratégico para os negócios. “Ela apoia a inovação, mas faz isso de forma consciente para agregar valor com risco gerenciado”, lembra Paulo Pagliusi. Ele acredita que estar em conformidade com as boas práticas, como as preconizadas pela ISO 27000 (que tratam da gestão de segurança da informação) é metade do esforço. “Passar na auditoria é só a metade do problema. O CSIO tem de trabalhar com pessoas e processos que estão fora da alçada de TI, porque para quem não conhece a área de verdade, os riscos são subavaliados”, afirma o diretor da Deloitte.
E a relação do CSIO com a área de Compliance. A função pode estar atrelada de alguma maneira à área de Compliance? Daniel, da Control Risks, diz que, de fato, existem modelos de cyber risks baseados em Compliance, nas leis e regulamentações às quais a empresa está sujeita. “Infelizmente, esse modelo não é consistente. Ele ainda existe, mas não é adequado à realidade de hoje. O mundo do cyber muda muito rapidamente e o compliance não tem capacidade de manter o mesmo ritmo da mudança”, acredita.
FALANDO DE BRASIL
Na América Latina, o Brasil é disparado o país que lidera a evolução na questão da prevenção aos riscos cibernéticos. Primeiro, porque o brasileiro tem uma paixão por tecnologia e adota muito rapidamente dispositivos eletrônicos para uso pessoal e que acaba por incorporá-lo no seu dia a dia de trabalho. Segundo, porque somos nós quem mais sofremos com o problema dos crimes cibernéticos na região. Mas, no contexto global, é correto dizer que o Brasil ainda tem muito que aprender com os países desenvolvidos. Daniel ressalta que, como o Brasil não está tão exposto ao ciberterrorismo, por aqui existe um pouco menos de incentivo para desenvolver o assunto, algo que tem se mostrado extremamente crítico nos Estados Unidos, Europa e Ásia. Basta ver que ainda se analisa o impacto da interferência russa nos resultados das eleições americanas, graças à disseminação de informações distorcidas na web e ao vazamento de dados e informações confidenciais supostamente comandadas por agentes ligados ao governo russo.
Ainda assim, os riscos de crimes cibernéticos no Brasil são uma realidade crescente, começando com os sequestros digitais. Embora os grandes ataques globais chamem a atenção, pequenos ataques têm sido perpetrados contra empresas de todos os portes com grande frequência por aqui. “Temos de levar em conta que as pessoas estão se preparando para um cenário de ameaça cibernética para esse ano. É um terreno inexplorado. Cada inovação traz um risco associado que precisa ser gerenciado”, aponta Paulo Pagliusi. A maior exploração da internet das coisas (que está presente em equipamentos de uso doméstico, mas também é usada no gerenciamento de linhas de produção das empresas e até em atividades ligadas à geração e distribuição de energia, por exemplo) para lançar ataques cibernéticos é algo para o qual o País ainda precisa se preparar.
Existem setores no País mais bem preparados para lidar com a questão dos crimes cibernéticos. “É claro que você tem setores óbvios, que lidam com grande volume de dados sensíveis, como o financeiro, advocacia e energia. Agora, infelizmente, posso dizer que não são só os setores óbvios, ou as empresas de grandes porte que são alvos dos ataques. Tudo pode ser algo de valor para alguém. Qualquer indivíduo tem dados que são importantes para as empresa, mas são dados mais importantes ainda para ele. Dessa perspectiva, é importante lembrar que todo setor é vulnerável ao ataque hacker”, reforça o executivo da Control Risks.
Por fim, um ponto importante e que tem tudo a ver com a realidade brasileira dos últimos anos, é que as empresas tem tido dificuldade em apresentar dados prontamente ao Ministério Público e à Polícia Federal, e mesmo para fins de investigação interna. “As empresas muitas vezes estão dispostas a colaborar com as investigações, mas não conseguem responder de forma tempestiva, tão pouco fornecer dados relevantes para o caso”, explica Guilherme, do Comitê de Investigações Corporativas da LEC. “Se a empresa não possui políticas de classificação da informação e não consegue saber se esses dados estão ativos nos servidores, se estão em backup, se podem ser recuperados em tempo hábil, etc. Neste cenário, o resultado da investigação pode ser comprometido por não ter tido acesso a todas as fontes de dados pertinentes ao caso”, conclui.
Essa reportagem foi publicada originalmente na edição XIX da Revista LEC. Gostou? Clique aqui para assinar a Revista LEC gratuitamente e receber a versão digital completa.
