Cyber Security: guia completo sobre o tema

O Decreto 10.222, publicado em 2020, estabelece a Estratégia Nacional de Segurança Cibernética (E-Ciber), com o objetivo de criar uma visão panorâmica sobre o papel do Brasil no que diz respeito à cyber security e nortear o desenvolvimento nesta área até 2023.

Como sabemos, a adaptação de processos e procedimentos para o ambiente virtual, que já era uma tendência, teve que ser acelerada por conta da pandemia da Covid-19.

Essa mudança trouxe diversos benefícios, mas também potencializou ameaças de ataques, exploração de vulnerabilidades e vazamento de dados.

Nesse contexto, a atualidade é um momento de muita preocupação em relação à cyber security, já que também entrou em vigência a Lei Geral de Proteção de Dados (LGPD).

A administração dos riscos cibernéticos já está no topo da lista de prioridades de gestores de negócios das mais diversas áreas e a atenção com tudo o que diz respeito à cyber security tem sido ininterrupta.

A meta é a constante identificação das vulnerabilidades e posterior direcionamento de esforços no sentido de reduzir os riscos.

Esta é uma abordagem bastante complexa que demanda empenho e envolve novas práticas, processos, índices, métricas e tecnologia avançada.

A gestão voltada para a cyber security com base em riscos parte do princípio de que esses riscos não se restringem à área da tecnologia.

Eles também precisam ser interpretados como riscos operacionais, pois dizem respeito a potenciais perdas para o negócio em diversas áreas.

Ou seja, um risco cibernético pode ocasionar a perda da produtividade, o descumprimento das regulamentações vigentes, os danos à imagem da empresa e, sobretudo, as perdas financeiras.

Podemos pensar também nas perdas físicas, como a inviabilidade do uso de equipamentos e dispositivos operacionais.

Portanto, os riscos operacionais são também riscos de negócio e o fortalecimento das medidas de proteção do ciberespaço foi, inclusive, recomendado pelo Fórum Econômico Mundial, pois as falhas de cyber security prejudicam a confiança e o crescimento econômico.

Por isso é tão importante implementar rotinas de cyber security que sejam simples e transparentes para que se possa ter uma visão real dos riscos e definir os esforços prioritários.

Quando não há clareza sobre essas rotinas, os cibercriminosos se beneficiam da incapacidade organizacional de lidar com os riscos e proteger seu ecossistema digital.

Nesta perspectiva, não basta contar com dispositivos avançados de cyber security. É necessária uma atuação mais estratégica e baseada nos riscos.

Os gestores precisam trabalhar com a priorização dos riscos mais importantes para o negócio. Essa habilidade é o termômetro da maturidade organizacional em relação à cyber security.

Elaboramos um guia para facilitar o entendimento sobre cyber security e a relação entre ela e a Estratégia Nacional de Segurança Cibernética.

Continue a leitura!

O que é cyber security?

Em tradução livre, cyber security significa segurança cibernética, mas não existe uma definição consensual sobre a definição do conceito.

Podemos partir da definição dada pelos padrões como a ISO/IEC 27032: cyber security diz respeito à preservação da confidencialidade, da integridade e da disponibilidade das informações no ciberespaço.

Ou seja, a cyber security define os princípios norteadores das atividades de segurança no ambiente online.

Podemos recorrer também a uma definição um pouco mais abrangente utilizada na União Europeia segundo a qual a cyber security diz respeito às atividades necessárias à proteção de redes e sistemas de informação e também dos usuários desses recursos e terceiros que possam vir a ser afetados por ameaças digitais.

Segundo essa definição, a cyber security não diz respeito apenas à segurança no ciberespaço, mas abrange a segurança dos sistemas, dos usuários e das informações.

Em outras palavras, tudo o que compõe, atua ou é afetado pelas vulnerabilidades, ameaças e ataques cibernéticos está ligado ao conceito e à função da cyber security.

Já no Reino Unido, a cyber security diz respeito à proteção de sistemas integrados, dos dados contidos nesses sistemas e dos serviços que atuam contra o acesso indevido e os prejuízos ligados a ele.

No caso, os sistemas incluem hardwares, softwares e toda a infraestrutura associada a ambos e os prejuízos que precisam ser evitados podem ser intencionais ou acidentais.

Essa visão sobre a segurança cibernética inclui elementos específicos relacionados aos riscos e danos que podem ser causados por ações maliciosas associadas também aos dados e sistemas.

Para fechar nossa lista de definições, vamos lembrar também da visão colombiana sobre cyber security.

Segundo ela, o conceito diz respeito à capacidade estatal de minimizar os riscos aos quais os cidadãos estão expostos, protegendo também os ativos do estado.

Nesse sentido, a segurança cibernética engloba um conjunto de recursos, conceitos de segurança, diretrizes, políticas e métodos de investigação e de gestão de riscos.

É notável a ênfase dada ao cidadão na definição colombiana e a colocação do Estado como o principal responsável pela cyber security.

Diante de todas essas diferentes definições, vamos agora ao que se entende por cyber security no Brasil.

Segundo o Glossário de Segurança da Informação publicado pela Presidência da República, a cyber security ou segurança cibernética compreende:

“Ações voltadas para a segurança de operações, de forma a garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético capazes de comprometer a disponibilidade, integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis”.

Essa definição destaca os três princípios compartilhados pela comunidade de segurança da informação: a confiabilidade, a integridade e a disponibilidade.

Ela também destaca a importância do papel da resiliência dos sistemas e adota a linguagem oriunda da Lei Geral de Proteção de Dados.

Uma diferença importante entre a definição brasileira e a colombiana é que aqui o papel do indivíduo não é destacado dentro da segurança cibernética.

O fato é que a cada dia acontecem milhares de ataques cibernéticos em redes de todo o mundo que prejudicam pessoas e empresas por conta da exposição de dados sensíveis.

Ou seja, a cyber security deve ser uma preocupação da sociedade como um todo e, por isso, deve passar pela atuação estatal.

Relação entre a Cyber Security e a Estratégia Nacional de Segurança Cibernética

A confiabilidade do ambiente digital e a garantia de sua segurança passam, certamente, pela atuação estatal e dependem da conscientização da sociedade como um todo, sobretudo nos gestores de negócios.

Isso significa que a cyber security envolve muito mais do que os recursos técnicos mais avançados no combate aos ataques.

É preciso construir e aprimorar constantemente uma sociedade preparada e resiliente no que diz respeito aos desafios de segurança.

Um esforço nesse sentido está visivelmente presente no texto da LGPD e nas ações relacionadas ao seu cumprimento nos diferentes setores da sociedade.

A busca por essa preparação também está presente na elaboração de documentos como a Estratégia Nacional de Segurança Cibernética (E-Cyber), que foi lançada em fevereiro de 2020.

Esse decreto (10.222/2020) estabelece diretrizes e orientações a respeito das ações pretendidas para a área da cyber security no quadriênio 2020-2023.

O documento foi elaborado com vistas a atender o inciso I do artigo 6º do Decreto 9637/2018, relacionado à Política Nacional de Segurança da Informação.

Este é um componente do conjunto de medidas que também inclui a defesa cibernética, a segurança das informações sigilosas e das infraestruturas críticas e a proteção contra o vazamento de dados.

Nesse sentido, há uma ligação clara entre o e-Cyber e a LGPD, já que a estratégia traçada contribui, seja de forma direta ou indireta, para que a conformidade com a Lei seja alcançada de maneira eficaz.

A Estratégia Nacional de Segurança Cibernética foi elaborada a partir de dois grupos de eixos temáticos: o da proteção e segurança e os eixos transformadores.

No primeiro deles, as estratégias expostas são voltadas para a governança da segurança cibernética nacional e a para a criação de um universo conectado.

Esse universo deve ser seguro e focar na mitigação das ameaças cibernéticas e na proteção estratégica.

O segundo eixo temático diz respeito à expansão da questão normativa e ao amadurecimento de uma cooperação internacional relativa à cyber security.

Assim, seu foco está na criação de parcerias estratégicas e no fomento ao desenvolvimento, à pesquisa e à inovação tecnológica.

Também encontramos nesse segundo eixo a questão da elaboração de uma educação direcionada para a cyber security.

Nesse contexto, ao fazer a leitura e análise dos eixos da Estratégia Nacional, é possível perceber que os tópicos abordados implicam diretamente na aplicabilidade das regras da LGPD.

Isso fica especialmente evidenciado nos tópicos relacionados à educação, que é a forma mais eficaz de buscar a maturidade plena da sociedade sobre a importância da cyber security.

A LGPD, inclusive, prevê a promoção do conhecimento das políticas públicas e normas relacionadas à proteção de dados pessoais e das medidas de segurança necessárias.

Sendo assim, é fundamental o incentivo à pesquisa, à inovação, ao desenvolvimento e à educação para que a sociedade se torne consciente sobre os seus direitos e sobre as tecnologias à sua disposição.

A Cyber Security e a Área de TI

Os riscos cibernéticos não podem ser tomados isoladamente até porque o ambiente digital perpassa todas as rotinas de um negócio.

Segundo o Fórum Econômico Mundial de 2020, 2021 e 2022, os ataques cibernéticos e o comprometimento das infraestruturas de informação estão na lista dos 10 maiores riscos globais no que diz respeito ao potencial impacto.

Esses riscos ganharam muito mais amplitude com a pandemia da Covid-19, que acelerou a digitalização das empresas sem que a maioria delas estivesse preparada para lidar com as ameaças digitais.

Assim, foi criada uma nova superfície de vulnerabilidades e consequentes ataques, já que muitas pessoas passaram a efetuar o trabalho remoto sem contarem com orientações sobre boas práticas de segurança da informação.

Os setores público e privado sofreram com diversos ataques durante este período. Foi o que ocorreu com o Superior Tribunal de Justiça em novembro de 2020.

Um ransomware criptografou os arquivos do órgão, deixando ainda mais evidente a falha da administração pública em prevenir e responder a ataques.

Com este exemplo, dentre tantos outros que surgem semanalmente, conseguimos entender a real dimensão do problema da negligência com a cyber security e também que ela não está restrita à área de tecnologia da informação.

Um ataque deste porte pode expor informações inclusive de pessoas que não lidam diretamente com nenhum sistema tecnológico e as consequências podem ser catastróficas.

Por isso, é preciso entender que a cyber security está compreendida na área da segurança da informação e se relaciona profundamente com a gestão de risco e continuidade de um negócio.

É nesse sentido que ela deve ser pensada e planejada no contexto organizacional para que se insira em uma estratégia de gestão eficiente e agregadora.

Em outras palavras, a cyber security é da competência não apenas dos gestores de tecnologia da informação, mas também (e sobretudo) daqueles que administram o negócio como um todo.

Se as falhas de segurança da informação podem potencializar ataques que vão prejudicar a imagem, as finanças e a própria continuidade do negócio, não há razão para minimizar o problema restringindo-o apenas a uma área ou setor da empresa.

Para que a cyber security ganhe a devida atenção e dedicação de que necessita dentro das empresas, existe uma palavra-chave a ser priorizada: a comunicação.

A criação de uma jornada eficiente de resiliência cibernética deve começar pela criação de um amplo canal de comunicação entre os executivos e as equipes envolvidas com a segurança.

A partir dessa comunicação, será possível visualizar a superfície de potenciais ataques e analisar os riscos.

O passo seguinte será o foco na proteção dos sistemas e informações tendo como base os riscos de maior impacto.

Do ponto de vista da escolha das ferramentas, é importante contar com plataformas que auxiliem decisivamente no mapeamento e na gestão das vulnerabilidades com aprimoramentos constantes.

As tecnologias cloud, 5G, IoT e IaC estão entre as tendências no setor de cyber segurança para os próximos anos.

Mas é fundamental nunca esquecer da priorização da criação e manutenção de uma cultura organizacional consciente sobre os riscos e seus diferentes impactos possíveis.

É a partir dela que você e sua equipe poderão definir as diretrizes das suas ações preventivas e, inclusive, utilizá-las como parâmetros dentro de plataformas como a EcoTrust.

A EcoTrust é uma plataforma SaaS  de cyber security que utiliza uma abordagem de inteligência em riscos cibernéticos (Cyber Risk Intelligence) e funciona com um BI de Cyber Security. Ela possibilita a descoberta e gerenciamento de vulnerabilidades e riscos cibernéticos de forma orquestrada, simplificada e automatizada. Quer conhecê-la? Solicite uma demo!