Sua empresa saberia enfrentar um ciberataque?
Sim, sua empresa está em risco. Se mesmo antes da grande da migração para o home-office provocada pela pandemia os ataques de cibercriminosos já começavam a escalar a níveis inéditos, a expansão de uso de ferramentas digitais parece ter colocado ainda mais combustível nesse cenário altamente inflamável.
Pesquisas indicam que as tentativas de ciberataques a empresas brasileiras aumentaram 460% de março a junho de 2020. Depois de um período de “calmaria” de julho a setembro, em que o índice voltou aos níveis “normais”, o crescimento atingiu inacreditáveis 860% em dezembro. Sim, sua empresa está em risco.
Aparentemente, quanto mais gente em trabalho remoto, maior a vulnerabilidade das organizações. Mas também já faz tempo que os cibercriminosos estão cada vez mais organizados, ousados, e que a alta dependência que quase todos os negócios têm em relação a TI parecem estar tornando os ciberataques cada vez mais lucratvos – sem falar que, para o criminoso, o risco é muito menor do que o de um crime “comum”, presencial, que pode exigir confronto físico.
Ok, sua empresa está em risco. Mas o que fazer se ela for mesmo hackeada? O assunto é quase infinito e o cenário de risco está em constante mutação – conforme a medidas de segurança avançam, os cibercriminosos “inventam” – mas separamos algumas orientações sobre como proceder, válidas para o momento atual.
– Assim que identificar os sinais do ataque, comunique a área de TI. Quanto mais rápido a empresa for capaz de reagir, maior a chance de conter os danos. Um dos sinais de alerta é o comportamento anormal da rede corporativa, como lentidão no processamento ou na conexão à Internet e perda de controle de sistemas pelos usuários.
– Informe o incidente às autoridades, como faria no caso de qualquer outra ação ilegal. Colete evidências, como captura de telas, e-mails, arquivos e outros materiais. Há delegacias especializadas nesse tipo de crime, mas qualquer uma pode receber a notificação.
– Identifique as causas: descobrir qual foi a brecha de segurança é indispensável para impedir o sucesso do ataque que ainda pode estar acontecendo e para a prevenção de futuras tentativas.
– Reduza os danos nos sistemas internos, tomando medidas imediatas como desconectar o servidor e/ou computadores afetados do roteador ou da rede corporativa, inclusive desabilitando funcionalidades wi-fi.
– Altere as senhas. Embora pareça até singela, essa providência simples tende a evitar o agravamento do problema. E, claro, defina senhas fortes, que reúnam letras, números e caracteres especiais e totalizem pelo menos 8 dígitos.
– Acione equipamentos de reserva/backup. É primordial restabelecer os serviços com agilidade. O tempo de inatividade (downtime) causa não só perda de produtividade da equipe, mas também impacta seriamente a experiência do cliente e as finanças.
– Descubra se houve vazamento e exposição de dados corporativos, informações pessoais de clientes – e as respectivas implicações legais. É preciso informar os clientes sobre o incidente e as medidas já em andamento. Se houver comprometimento de informações bancárias, contate o banco com urgência.
– Reveja suas políticas e estratégias de cibersegurança, aprenda com os erros e invista, sempre e tanto quanto for possível, em profissionais de tecnologia altamente capacitados, especializados e atualizados na prevenção e combate a esse tipo de ataque.
– Faça uma análise adequada de todos os riscos envolvidos para dimensionar corretamente o que pode ou não ser segurável.
– Tenha um seguro que cubra prejuízos de ciberataques. Assim como a contratação de excelentes profissionais de tecnologia, a proteção obtida sempre supera muito qualquer possível resistência ao investimento.
Conte com a SICCS para ajudá-lo e apoiá-lo nesse processo tanto voltando ao assunto diversas vezes aqui em nosso blog no futuro como oferecendo soluções de seguro que contemplem suas necessidades porque, sim, nós queremos estar ao seu lado sempre que sua empresa está em risco.
Fontes
https://www.microserviceit.com.br
https://www.kaspersky.com.br
https://www.infomoney.com.br
Quanto você pagaria pelos dados da sua empresa?
Um ataque hacker consegue burlar as medidas de segurança digital, acessar os sistemas da empresa e “sequestrar” dados indispensáveis à sua operação. O valor do “resgate” pode chegar à casa dos milhões. O que você faz? Paga o preço exigido pelos cibercriminosos ou se nega, aceitando levar um tempo imprevisível para retomar suas atividades? De uma forma ou de outra, a empresa estará no prejuízo…
Um ataque desse tipo, conhecido como ransomware (sequestro digital), foi sofrido há alguns dias por ninguém menos que as Lojas Renner, maior varejista de moda do país, paralisando suas atividades – inclusive em lojas físicas – retomadas ainda de forma instável 2 dias depois, até serem normalizadas. O Grupo Fleury também foi vítima, em julho desse ano, e demorou 23 dias para retomar completamente seus sistemas. A lista de empresas atacadas desde o início da pandemia inclui Cosan, Braskem, Fleury, JBS e Embraer, entre outros.
Já dissemos aqui que os crimes cibernéticos vêm apresentando aumento expressivo nos últimos anos e cresceu mais de 200% desde o início da pandemia. Estima-se que o custo global do cibercrime tenha sido de US$ 1 trilhão em 2020 e atinja a marca de US$ 6 trilhões em 2021. Não é de espantar, portanto, que as organizações estejam investindo forte em cibersegurança.
Só na América Latina, o setor movimentou quase US$ 5 bilhões no ano passado e deve chegar a US$ 9,57 bilhões em 2026. No Brasil, com a vigência da LGPD – Lei Geral de Proteção de Dados Pessoais, que dispõe sobre dados pessoais e medidas de segurança para protegê-los de ações ilícitas e situações acidentais, o movimento é crescente – inclusive porque, claro, a lei prevê penalidades.
A imagem do hacker como um adolescente nerd, que sozinho do seu quarto ou do porão de casa consegue burlar só por “esporte” a segurança de sistemas de grandes corporações, há muito está desatualizada, se é que um dia foi verdadeira. Hoje se sabe bem que os hackers são grupos organizados, ousados, perigosos, que agem por interesse e podem lucrar muito com suas atividades ilícitas.
Uma das formas de reduzir os riscos de ataques digitais é combinar investimentos em tecnologia – especificamente sistemas cada vez mais eficazes em identificar e neutralizar invasões rapidamente – e treinamento de colaboradores para adoção de protocolos preventivos. Assim se constrói um programa robusto de segurança da informação.
Outra estratégia importante, ainda mais eficaz se adotada de modo complementar, é o chamado Cyber Seguro, apólice específica de seguro de riscos cibernéticos que oferece às empresas cobertura referente à responsabilidade pelo vazamento de dados e eventuais prejuízos financeiros causados por ataques de hackers. Ou seja, se todas as outras medidas de cibersegurança falharem, o seguro ao menos minimiza os prejuízos, o que não é pouco quando se fala em cifras na casa dos milhões.
A existência e a popularização dessa solução, comum na Europa, é relativamente recente no Brasil. Mesmo assim, o aumento das contratações deste tipo de apólice foi de 55% no ano de 2019. Provavelmente, isso reflete uma consciência crescente no mercado, de que todas as empresas estão sujeitas a ataques de hackers, e que proteger-se deles é responsabilidade dos respectivos gestores.
Quer se prevenir contra o terrorismo virtual? A SICCS está preparada para auxiliar você nesse sentido.
Fontes:
https://www.abgr.com.br
https://www1.folha.uol.com.br
https://neweseguros.com.br
https://www.convergenciadigital.com.br
https://canaltech.com.br/seguranca
Dados: quem não protege arrisca.
Diante das infinitas possibilidades do mundo digital, descuidar de dados e informações sensíveis é colocar a segurança em jogo.
A demanda hoje vai além das boas práticas e tem força de lei: a LGPD – Lei Geral de Proteção de Dados Pessoais (13.709/2018), que já citamos em artigo anterior aqui.
Portanto, se assegurar o sigilo dos dados corporativos sempre foi decisivo para a continuidade do negócio, agora a empresa – toda empresa – tem a obrigação legal de assegurar a privacidade dos dados, inclusive e principalmente pessoais, de todos os envolvidos em sua cadeia produtiva: clientes, parceiros, fornecedores, colaboradores.
Isso envolve um conjunto de comportamentos que precisa ser adotado por toda a equipe e vai desde a definição de uma senha forte, passa por procedimentos para um home-office seguro e chega até a atenção máxima com compartilhamentos. Neste tema, não existe meio-termo: quem não toma máximo cuidado coloca dados sensíveis em risco.
Muitos especialistas dizem que o elo mais frágil da segurança da informação não é a tecnologia, e sim o comportamento do usuário. Mas pode-se dizer, de maneira bem plausível, que quando existe consciência e responsabilidade ele pode se tornar o elo mais forte.
Porém, não parece realista esperar que conhecer e praticar atitudes que garantam a segurança da informação na empresa – mesmo que a pessoa esteja em casa – seja uma iniciativa espontânea dos colaboradores. A estratégia mais simples, evidente e eficiente para que isso aconteça é aplicar o binômio subsídio + exigência.
Ou seja, para começar, disponibilizar materiais específicos de orientação e, se possível, treinamentos também focados especificamente no tema, que podem ser feitos de modo tradicional – expositivo e didático – ou mais lúdico, inclusive por meio de games que premiam de algum modo os melhores participantes.
Essa segunda opção é conhecida por gamification, e não faltam empresas especializadas em sua aplicação, que costuma ter altos índices de adesão, exatamente por combinar informação com uma boa dose de entretenimento – o que sempre mobiliza mais do que a informação “pura e simples”, além de, comprovadamente, facilitar a absorção dos conteúdos.
Só depois de realizar ações para envolver e engajar a equipe, fornecendo o conhecimento e as ferramentas necessários para colocar em prática novos hábitos, gerados por uma nova mentalidade, parece razoável cobrar, legitimamente, o compromisso com a segurança da informação na empresa.
Feito de forma tradicional ou com o uso de gamification, o objetivo corporativo, claro, é jogar para ganhar, mas segurança é um jogo que não depende de simples pressão corporativa, muito menos de sorte – e sim de atitude.
RC Fraudes Corporativas (Crime Liability) é uma boa autodefesa.
O termo compliance paira nos ambientes corporativos sem que muita gente saiba exatamente, ou ao menos consiga descrever claramente, o que ele significa. E como se trata de um conceito que atravessa diversas áreas de atividades e conhecimentos humanos – especialmente a administração – existem inúmeras definições acadêmicas.
Mas, em termos gerais, podemos dizer que compliance é um conjunto de regras, padrões, procedimentos éticos e legais que orienta os atos e comportamentos de uma organização – inclusive a atitude de seus colaboradores. Acontece que às vezes as lideranças e/ou gestores estão alinhados à política de compliance da empresa, mas um colaborador não. Com certa frequência, mais de um…
Agindo sozinho ou em associação com terceiros, inclusive de fora da empresa, o colaborador que foge aos padrões éticos e legais definidos na compliance corporativa pode utilizar a estrutura e os meios da companhia que o emprega para cometer atos fraudulentos e criminosos. Assim, mesmo que uma empresa praticamente inteira atue de forma ética e legalmente correta, pode acontecer de ela ter de arcar com os custos resultantes do comportamento criminoso de um de seus quadros.
Sim, na era da explosão digital, enquanto se fala tanto dos riscos de cibercrimes associados à ação externa de hackers, a empresas precisam se preocupar também com agentes internos: os insiders. Pesquisas recentes indicam que mais de 60% dos autores de fraudes são insiders, e os delitos podem ou não ter a ver com a invasão de um sistema, caracterizando-se, por exemplo, pelo mau uso dele, ou de algum outro recurso. Não faz muita diferença, se o resultado final for prejuízo.
Nesse cenário em que a gestão de risco das empresas ganha cada vez mais complexidade, como combater ações criminosas que podem ser realizadas pelos próprios colaboradores? Bem, além de um criterioso processo de seleção (óbvio), parte da autodefesa vem de outros colaboradores, mais honestos: provavelmente pela proximidade com processos e pessoas, eles também são os mais propensos a descobrir o problema. São os, digamos, “insiders do bem”, também conhecidos como whistleblowers (denunciantes). Outro recurso é uma auditoria externa.
A questão mais difícil é que, boa parte das vezes, tanto denúncias internas como auditorias externas acontecem depois do problema – da fraude realizada, do crime cometido – quando a tipificação do ato criminoso já está legalmente estabelecida e os prejuízos decorrentes podem ser inevitáveis. Empresa inocente, colaborador culpado? Mesmo assim, prejuízo para a empresa, se ela for considerada responsável pelo ocorrido em algum nível – uma tese defensável. Pode não ser justo, mas é a vida real, na qual esse desfecho é bem plausível. E, claro, as perdas não acontecem necessariamente só perante a lei.
Para proteger as empresas contra esse tipo de turbulência, existe o Seguro de Responsabilidade Civil – Fraudes Corporativas (Crime Liability), que oferece à empresa segurada cobertura para os prejuízos causados pelos malfeitos de seus colaboradores, como furto, roubo, apropriação indébita, falsificação de documentos, transferência fraudulenta de fundos, fraudes eletrônicas, entre outros, dependendo da abrangência da apólice.
Como em quase qualquer situação que envolva risco (e qual não envolve?), precaver-se com um seguro sempre é mais inteligente e econômico do que ter de lidar com as consequências do fato consumado. Com o RC Fraudes Corporativas (Crime Liability), a empresa toda se protege contra o que pode ser decorrente da ação nociva de poucas pessoas – e até mesmo de apenas um indivíduo. Antecipar-se a essa possibilidade é uma decisão realmente, e brilhantemente, estratégica.
Fontes
https://administradores.com.br
Cyber Seguro
Quanto mais digital a vida se torna, maior é o volume dos dados disponíveis sobre as pessoas e, portanto, a importância de sua privacidade e segurança, a ponto de gerar repercussões legais: a Lei Geral de Proteção de Dados Pessoais (13.709/2018) dispõe sobre o tratamento de dados pessoais e define a adoção de medidas de segurança para protegê-los de ações ilícitas e situações acidentais.
Os crimes cibernéticos vêm apresentando aumento muito expressivo nos últimos anos: o número de ataques hacker cresceu mais de 200% desde o início da pandemia e estima-se que o custo global do cibercrime atingirá a marca de US$ 6 trilhões em 2021. No Brasil, com a LGPD já em vigor, a preocupação das companhias é ainda maior, pois, como toda lei, ela prevê penalidades.
Um programa interno de conscientização sobre privacidade e proteção de dados certamente reduz a vulnerabilidade da empresa frente à LGPD, contribuindo para que não se envolva em incidentes que a deixariam sujeita a expressivas multas, capazes, muitas vezes, de inviabilizar a continuidade do negócio. Investir na conscientização dos colaboradores sobre o tema resulta, de modo direto ou indireto, num grande diferencial competitivo: melhor reputação.
Os motivos são óbvios: a maior responsabilidade dos colaboradores e o relevante improvement na confiança dos clientes atraem e favorecem a realização de mais e melhores negócios. Porém, este tipo de ação é necessário, mas não suficiente. Porque, como se sabe – inclusive por notícias recentes sobre grandes vazamentos de dados no Brasil e no exterior – nenhum treinamento tem adesão total e nenhum sistema de segurança é perfeito.
Por isso, mesmo uma empresa bem alinhada à LGPD não pode se dar ao luxo de dispensar uma proteção extra no caso de, apesar de seus esforços, esses incidentes ocorrerem. A cobertura para esse tipo de risco vem sendo incorporada nas apólices de seguradoras que trabalham com RC- Responsabilidade Civil, mas apenas parcialmente.
Diante dessa realidade, nasceu o que hoje é chamado de Cyber Seguro, apólice específica de seguro de riscos cibernéticos que oferece às empresas cobertura referente à responsabilidade pelo vazamento de dados, assim como eventuais prejuízos financeiros causados por ataques de hackers. Comum na Europa, sua existência e popularização são relativamente recentes no Brasil. Mesmo assim, o aumento das contratações deste tipo de apólice foi de 55% no ano de 2019, muito provavelmente por causa da entrada em vigor da LGPD.
Como não é possível prever com exatidão os rumos da tecnologia, mesmo com a alta relevância das diretrizes contidas na LGPD os riscos à segurança gerados pela evolução do cibercrime – também imprevisível – continuarão existindo, talvez até aumentando. Tudo indica, portanto, que o Cyber Seguro está chegando para ficar.
Fontes:
https://www.abgr.com.br/noticias?id=753&BuscaPor=Autor
https://www1.folha.uol.com.br/fsp/dinheiro/fi1611200824.htm
