Ataques Cibernéticos e Vazamentos de Dados: Sempre o Fator Humano!
Prof. Dr. Antonio Celso Ribeiro Brasiliano,
DICS, MCRC, CIEAI, CEGRC, MBCR, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS,
Doutor em Ciências da Informação e Engenharia e Inteligência Estratégica pela Universidade Paris-Est (Marne La Vallée, Paris, França); Doctor Internacional em Ciencias de la Seguridad, pelo CEAS – Internacional – Madrid – Espanha, presidente da Brasiliano INTERISK. abrasiliano@brasiliano.com.br
Setembro | 2022
Há um ditado muito antigo que diz: o lobo perde o pelo, mas não perde o vício!
É um provérbio surrado e pejorativo, mas guarda uma verdade que costumamos ignorar. Transpondo para a área de TI e Cibernética o sentido original deste dito, vê-se que ele é relacionado às práticas de engenharia social e de phishing. Apesar de ele se tornar a cada dia mais válido, as empresas, de modo geral, insistem em ignorá-lo.
Lendo os relatórios de empresas internacionais sobre vazamentos de dados e ataques cibernéticos internacionais, procuro entender a razão pela qual os CISOS não pressionam o CEO e os Conselhos de Administração a implantarem de fato uma mudança cultural em termos de prevenção. Segundo o COSO ERM 2017, esta é uma função da alta administração, prevista no novo Framework de ERM, função esta que considero estratégica para que as empresas consigam atingir seus objetivos.
Figura 1: Novo Framework do COSO ERM 2017
Este framework é dividido em 5 fases distintas, tendo a primeira delas o foco em Governança e Cultura. Repassemos as ações e atribuições relativas a cada uma dessas fases:
1ª Fase - Governança e Cultura: A governança define o tom da organização, reforçando a importância do estabelecimento de responsabilidades de supervisão para o gerenciamento de riscos corporativos.
A cultura abrange os valores éticos, comportamentos desejados e compreensão dos riscos na organização.
Isto significa que os membros do Conselho de Administração deveriam, em termos de Riscos Cibernéticos, ficar mais sensíveis para as seguintes atribuições:
1. Exercer a supervisão da gestão de riscos – O C.A. supervisiona a estratégia e tem responsabilidades de governança para ajudar a administração a pôr em prática a estratégia e atingir os objetivos de negócio. O risco cibernético é um dos pilares para que as empresas atinjam seus objetivos e cumpram suas estratégias.
2. Estabelecer estruturas operacionais – A organização estabelece estruturas operacionais para atingir a estratégia e os objetivos de negócio. O CA tem que apoiar as estruturas de prevenção em riscos cibernéticos para toda a empresa, com foco específico na prevenção. A empresa consciente faz sensibilizações contínuas em engenharia social e phishing, para evitar intrusões em seus sistemas críticos.
3. Definir a cultura desejada – A organização define os comportamentos esperados que caracterizam a cultura desejada pela entidade. A cultura de prevenção aos ataques cibernéticos deve ser o foco de hoje, nesta quarta revolução industrial. De nada adianta estabelecer sistemas de defesa cibernética com SOC, por exemplo, se a empresa não adota uma cultura de sensibilização. Este entendimento é estratégico. As empresas não enxergam isso!
4. Demonstrar compromisso com os valores fundamentais – A organização precisa demonstrar compromisso com seus valores fundamentais. Um dos valores fundamentais da empresa é gerar valor. Para gerar valor a empresa precisa instalar barreiras eficazes contra os ataques cibernéticos e vazamentos de dados, que são riscos destruidores de valor da empresa.
5. Atrair, desenvolver e reter pessoas capazes – A organização tem o compromisso de formar capital humano de acordo com a estratégia e os objetivos de negócios. Um dos pilares de hoje é a formação de capital humano, já que o mercado se ressente da falta de especialistas em segurança cibernética. Desta forma a empresa precisa se reinventar, colocando a responsabilidade da segurança cibernética nas mãos dos responsáveis pelos processos. A responsabilidade passa a ser de todos. Atendido esse requisito, o nível de maturidade dos colaboradores cresce de maneira exponencial.
Nós, da Brasiliano INTERISK, com nosso Framework proprietário de Gestão de Riscos Cibernéticos, contemplamos no conjunto denominado Joias da Coroa (processos, informações e sistemas críticos para o negócio) a avaliação da maturidade das pessoas que devem ter acesso ao núcleo duro das empresas. É uma avaliação simples, porém os responsáveis pela segurança cibernética ficam, na maior parte das vezes, inibidos em fazer avaliações, por exemplo, com seus CEO, VP ou Diretores. Não deveria ser assim, pois a avaliação da maturidade do fator humano é um Fator Crítico de Sucesso – FCS em qualquer programa de segurança cibernética.
Podemos observar abaixo que em uma avaliação entre executivos temos o seguinte resultado:
Tabela 1: Software INTERISK – Critérios de Maturidade Pessoal em Segurança Cibernética
Tabela 2: Resultado da Maturidade dos Executivos.
Podemos observar na tabela acima que o nível de Maturidade nesta empresa é baixo, pois apenas 36,5% dos executivos detêm um alto nível de maturidade. Tecnicamente falando temos 63,5% do total dos executivos vulneráveis a técnicas de engenharia social e phishing. Portas abertas. Basta um executivo com Maturidade Média ou Baixa clicar em um e-mail malicioso e coloca em risco todos os sistemas críticos da empresa.
Para reforçar o que estou descrevendo, veja o que diz o Relatório Custo de uma Violação de Dados – 2021 da IBM: O phishing é a ameaça cibernética mais urgente que as organizações enfrentam e aumentará no futuro. No ano passado, em todo o mundo, 83% das organizações relataram ter sido vítimas de ataques de phishing. Neste ano, 2022, espera-se que ocorram aproximadamente 6 bilhões de ataques.
Os invasores hoje usam táticas como spear phishing e vishing para atingir usuários e fazer com que as organizações percam bilhões anualmente. O objetivo principal é obter acesso a redes, roubar dados ou infectar sistemas com malware. Devido a esses ataques, as empresas perdem clientes valiosos, dinheiro e reputação.
O relatório da IBM revela que o phishing continua sendo o segundo vetor de ataque mais caro, custando às organizações US$ 4,65 milhões em média. Os pesquisadores descobriram ainda que qualquer violação por phishing levou, em média, 213 dias para ser identificada e mais 80 dias para ser contida. Portanto, o tempo médio para conter ameaças de phishing é superior a 290 dias. Vejam o tempo que leva para que as empresas consigam detectar e deter o malware implantado em suas redes.
Segundo o estudo, vários fatores contribuem para o número crescente de ataques de phishing, como o uso de dispositivos corporativos para uso pessoal e a falta de conhecimento, questões que só podem ser superadas com a implementação completa de um programa de segurança cibernética comportamental.
Portanto, se queremos reduzir a superfície de ataque, só há um caminho em termos de sucesso e eficácia: Cultura de Segurança Cibernética.
Ou seja, a implantação de programas contínuos, com testes, workshop, treinamentos na intranet e medição da maturidade pessoal em segurança cibernética. Para mudar a cultura, temos que colocar todos os colaboradores no aquário; caso contrário, o cenário não irá mudar.