Cibersegurança é o termo utilizado para definir as práticas ou tecnologias que são utilizadas para proteger computadores, softwares, servidores, aplicações, redes e dados de possíveis ataques cibernéticos. Ela faz parte da segurança da informação e se concentra especificamente na proteção de arquivos de informação digital.
Atualmente, a cibersegurança tem se tornado cada vez mais relevante nas empresas, justamente por conta do pandemia do novo coronavírus, que fez com que muitos passassem a trabalhar de forma remota.
Como a adesão ao home office aconteceu praticamente de uma hora para outra, lá em meados de março de 2020, a maioria das empresas não tinha uma estrutura adequada, o que acabou abrindo diversas brechas na segurança.
Afinal, em um dia normal de trabalho os colaboradores acabam trocando ou mesmo produzindo uma série de informações e dados sensíveis, que nem sempre estavam armazenados em lugares seguros, o que fez com os investimentos nessa área aumentassem.
Para se ter uma ideia, de acordo com uma pesquisa realizada pela Marsh Brasil em parceria com a Microsoft, as empresas brasileiras aumentaram em 16% os investimentos em segurança. Na América Latina (AL) esse aumento foi de 24%. A pesquisa ouviu cerca de 640 empresas da AL, de 20 setores e 18 países em agosto de 2020, com o objetivo de entender melhor como as empresas reagiram à pandemia e os impactos nas políticas e investimentos de segurança.
Recentemente, no Brasil, houve um vazamento de dados de mais de 223 milhões de CPFs, CNPJs, salários e outras informações sensíveis. Há pouco tempo, um hacker foi preso sob suspeita de ser o responsável por esse vazamento. Além disso, por conta da Lei Geral de Proteção de Dados, a população está cada vez mais atenta ao uso dessas informações, o que impacta também as empresas, não só do ponto de vista da proteção das informações internas, mas também para garantir que os dados dos clientes não sejam expostos.
Com a implementação do open banking chegando ao Brasil, a tendência é que essa preocupação com a cibersegurança se intensifique no mercado financeiro. Pensando nisso, nós preparamos esse post para falar um pouco sobre os impactos da pandemia e do open banking na cibersegurança das empresas:
- O que é cibersegurança?
- Impactos da pandemia do novo coronavírus
- Cibersegurança e open banking
- Dicas de segurança para as empresas
O que é cibersegurança?
Cibersegurança é um conjunto de técnicas utilizadas para proteção de sistemas, programas e redes de informação, evitando assim invasões e ataques maliciosos.
Por conta da quarta revolução industrial, ou indústria 4.0, as empresas passaram a armazenar seus dados e informações em sistemas de nuvem (porque eles oferecem maior capacidade de resposta e flexibilidade, com melhor custo-benefício), justamente porque a tecnologia possibilitou o aumento da coleta e análise de informações. Além disso, se tornou necessário também facilitar a comunicação entre dispositivos, o que aumentou o volume de transações e consequentemente a necessidade por sistemas de segurança e proteção.
Por exemplo, imagine que uma empresa trabalha com o desenvolvimento de aplicativos financeiros. Para isso, ela precisa analisar uma série de dados dos clientes, para aprimorar cada vez mais o app. Portanto, é normal que muitas pessoas tenham acesso a essa determinada base. Assim, é necessário garantir que apenas pessoas autorizadas tenha acesso, além de proteger esses dados de possíveis ataques.
Não à toa, a Internacional Data Corporation prevê que os gastos mundiais com soluções de cibersegurança chegarão a 133,7 bilhões de dólares até 2022.
Entretanto, o ano de 2020 trouxe um novo desafio para a área de cibersegurança. Como já comentamos acima, por conta da maior adesão ao home office, houve um aumento considerável de invasões, ransomware, roubos de dados e tentativas de phishing (quando, por exemplo, você recebe um e-mail falso, que simula uma instituição bancária, para que você atualize seu cadastro, com o objetivo de coletar suas informações pessoais).
Isso porque, como vamos ver em detalhes no próximo tópico, muitos passaram a trabalhar remotamente com dispositivos pessoais, utilizando a própria rede wi-fi para acessar uma nuvem ou uma base de dados em comum, o que dificulta o controle e monitoramento dessas situações.
Uma pesquisa recente realizada pela PwC, mostrou que 55% dos líderes da área de TI dizem que é provável ou muito provável que seus provedores de serviços em nuvem sejam ainda mais ameaçados em 2021 – e no futuro. O que justifica, mais uma vez, os aumentos no investimento com cibersegurança.
Por isso, é imprescindível que os diretores ou líderes responsáveis por essas áreas realizem um monitoramento constante, agregando novos recursos à proteção dos links, ao controle de conteúdo, à criptografia de dados sensíveis, à utilização de métodos seguros de conexão e à formação de um ambiente de alta performance também no que diz respeito às estratégias de segurança da informação.
Existem três tipos de ameaças que são combatidas pela cibersegurança:
- Crime virtual: indivíduos ou grupos que atacam sistemas para obter ganhos financeiros ou causar interrupções;
- Ataque cibernético: geralmente evolve a coleta de informações políticas;
- Terrorismo cibernético: quando o intuito é atacar sistemas eletrônicos para causar pânico ou medo.
Principais tipos de ameaças virtuais
As principais ameaças virtuais que você e seu time de segurança podem enfrentar são:
- Negação de Serviço Distribuída (DDoS): esse ataque ocorre quando um serviço é propositalmente sobrecarregado de acessos e solicitações que fazem com que a página “caia” ou saia do ar, o que acaba gerando prejuízos.
- Botnets: quando as redes de computadores são infectadas por malware (software malicioso), para que os criminosos virtuais possam realizar tarefas on-line sem a permissão do usuário.
- Spyware: um programa que registra secretamente o que um usuário faz, para que os criminosos virtuais possam fazer uso dessas informações.
- Ransomware: malware que bloqueia os arquivos e dados de um usuário, com a ameaça de apagá-los, a menos que um resgate seja pago.
Os sistemas de informação na internet, geralmente, são compostos por camadas. Então, os ataques podem acontecer em apenas uma esfera ou em várias. Em casos nos quais são aplicadas tecnologias blockchain, é comum aplicar o mecanismo de chaincode para proteção virtual. Assim, a cibersegurança é utilizada como uma forma de manter os dados e processos seguros.
Cibersegurança no Brasil
Reforçando ainda mais a necessidade de prestar atenção na cibersegurança, um estudo recente feito pela consultoria alemã Roland Berger, mostrou que o Brasil tem sido um dos principais alvos globais aos ataques. O levantamento aponta que já ultrapassamos o volume de ataques do ano passado, apenas nesse primeiro semestre, com um total de 9,1 milhões de ocorrências, considerando apenas os de ransomware.
“O tema de cibersegurança já vem evoluindo no Brasil e no mundo na última década. Hoje, isso não tem apenas relação com a segurança dos dados, mas de infraestrutura”, diz o sócio-diretor e especialista em Inovação da Roland Berger, Marcus Ayres, em entrevista ao portal Infomoney. Segundo ele, ataques na infraestrutura das empresas impactam diretamente a operação, aumentando o prejuízos e os custos.
Impactos da pandemia do novo coronavírus
“Sou parte do time de segurança da Microsoft e ajudamos muitos clientes a responderem a incidentes. Em um desses casos, uma grande empresa na América Latina, estamos ajudando a dar resposta a um ataque de ransomware originado em uma estação de um colaborador trabalhando de casa com um equipamento que não tinha medidas mínimas de segurança”, conta Marcello Zillo, assessor chefe de segurança da Microsoft na América Latina.
Na pesquisa da Marsh Brasil em parceria com a Microsoft, que mencionamos na introdução desse texto, ficou comprovado o aumento do uso de dispositivos pessoais no trabalho. Na América Latina, 70% das empresas admitiram ter funcionários trabalhando com computadores pessoais – no Brasil esse número é 6% maior – embora 35% das entrevistadas afirmem que esse número é inferior a um quarto do total.
Entretanto, 30% das empresas perceberam um aumento no número de ataques como resultado da pandemia. As principais ameaças identificadas foram:
- Engenharia social ou phishing (25% no Brasil e 29% na AL);
- Malware (25% no Brasil e na AL);
- Ataques contra aplicativos web (24% no Brasil e 18% na AL).
Uma outra pesquisa realizado pela HLB internacional, identificou que 63% dos profissionais de TI entrevistados afirmaram que, por conta do início da pandemia, a empresa mudou as estratégias e protocolos de segurança, para evitar ou mitigar problemas. Além disso, o levantamento revelou que 58% das organizações não estavam preparadas para o home office.
Não por acaso, a pesquisa da PwC, também já mencionada, indicou que 40% dos executivos de TI planejam aumentar a quantidade de testes de resiliência para garantir que as operações continuem funcionando, mesmo em casos em que possa ocorrer um potencial ataque cibernético.
Ou seja, de acordo com os dados apresentados, podemos perceber que os investimentos em cibersegurança se tornaram cada vez mais necessários, fazendo com que caísse por terra a ideia de que a segurança é apenas um custo e não um benefício. Assim, com o surgimento de novas tecnologias, a tendências é que os mecanismos de segurança passem a evoluir também.
Cibersegurança e open banking
O open banking é uma iniciativa mundial, que faz parte do Open Finance, criada com o objetivo permitir que os clientes possam compartilhar seus dados com outras instituições ou aplicações, por meio de APIs abertas.
No Brasil, essa iniciativa, que é regulamentada pelo Banco Central, já está com a segunda fase, na qual será possível autorizar o compartilhamento de dados, sendo implementada.
Portanto, a preocupação das instituições é justamente com a cibersegurança e proteção de dados, para que a população se sinta segura para utilizar o open banking. Até mesmo porque, por conta da transformação digital, será essencial para o mercado financeiro saber analisar os dados e informações obtidas para melhorar os serviços prestados ou criar novos negócios, de acordo com as necessidades da população.
Assim, a implementação do open banking Brasil deve ser feita de forma segura e controlada, para não expor as aplicações e os dados dos clientes a ataques ou vazamentos, respeitando também as diretrizes da Lei Geral de Proteção de Dados.
“Para que isso seja feito de forma segura e controlada, é necessário que durante todo o processo de desenvolvimento das APIs a segurança seja testada em cada etapa e, ao finalizar um produto, é preciso aplicar um teste de invasão. Falhas na consideração destes aspectos de segurança podem expor as aplicações e os dados de clientes a ataques de hackers”, afirmou Matheus Jacyntho, gerente sênior de Cybersecurity e de Privacidade de Dados na ICTS Protiviti, em artigo publicado no portal da revista Exame.
Na prática, a implementação do open banking traz à tona dois conceitos que já são conhecidos da área de segurança: a autenticação e a autorização.
- Autenticação: compreende uma série de técnicas que garante a identificação inequívoca de determinado usuário para permitir acesso a um sistema.
- Autorização: compreende as ações que são possíveis de implementar para a gestão de consentimento.
Além desses dois itens, nesse momento entra também a auditoria, que é responsável por auditar e rastrear o que foi feito pelo usuário dentro da aplicação. Autenticação, Autorização e Auditoria formam um termo muito conhecido da segurança da informação: AAA.
O Banco Central determina que o consentimento dos clientes deve ser coletado de forma eletrônica. Por isso, é importante que as instituições participantes do open banking façam essa gestão do consentimento de forma transparente, por meio de controles internos de privacidade.
Inclusive, você pode contar com a OPUS para a implementação do open banking na sua empresa! Nós desenvolvemos uma solução segura, padronizada e totalmente aderente as diretrizes do Banco Central. Quer saber mais sobre o OPUS Open Banking? Entre em contato com a gente!
>>Leitura recomendada: API open banking: descubra o que é, como aplicar, dicas de segurança e padronização
Dicas de segurança para as empresas
Agora que a importância de se investir em cibersegurança já ficou clara, aqui vão algumas dicas paras gestores e empresas que querem melhorar ou implementar melhores regras de segurança para proteger suas informações sigilosas.
1. Mapeamento da segurança
Um dos primeiros passos é realizar um mapeamento do status da empresa, para entender a quantidade e os tipos de ataque que acontecem, quais são as ferramentas disponíveis, quais precisam ser adquiridas e o que precisa ser redefinido e alinhando com a equipe.
2. Defina políticas de cibersegurança interna
Além de definir essas diretrizes, é importante que essas regras sejam compartilhadas com a empresa – ainda mais no trabalho remoto – para garantir que todos saibam como agir durante situações de potencial ameaça. Afinal, os colaboradores também auxiliam os times de tecnologia e segurança na hora de identificar algum problema.
3. Cultura de proteção e cibersegurança
Esse tópico, funciona como um complemento do anterior, justamente porque o processo de adoção de práticas de segurança deve começar com a conscientização. Isso evita que informações de clientes e da própria organização possam estar em risco e garante que as estratégias de atuação e conhecimento interno estejam de acordo com as diretrizes definidas.
O processo de compartilhar as informações também colabora para a criação de uma cultura de aprendizagem dentro das organizações entre times de áreas diferentes.
4. Monitoramento de sistemas e redes
Esse item se tornou ainda mais relevante durante o home office, justamente porque ele é capaz de identificar alterações que podem ser ameaças, invasões ou brechas na segurança das informações.
Além disso, o monitoramento também facilita o controle de acesso, para garantir que somente os colaboradores autorizados possam ver as informações sensíveis.
5. Faça investimentos em cibersegurança
Por conta do grande volume de informações que é processado diariamente e a quantidade de pessoas que precisam acessar uma rede ou um banco de dados, a maioria das empresas precisa manter a vigilância constante.
Para isso, você pode contar também com a prestação de serviços de empresas terceirizadas. Inclusive, uma das previsões do Industry Analyst para 2021 indica o interesse contínuo das organizações por serviços gerenciados por outras empresas, seja para garantir a cibersegurança de uma parte ou do todo de um sistema.
>>Leitura recomendada: Segurança de dados: como proteger os dados no Open Banking