Ciberataque: quando isso pode acontecer com a sua empresa

“Como cuidar da cibersegurança da minha empresa?”. Se você fizer essa pergunta ao ChatGPT, a inteligência artificial (IA) por trás da ferramenta apresenta como resposta algumas recomendações, como: faça uma avaliação de risco, eduque seus funcionários, tenha senhas fortes, faça backup, monitore sua rede e contrate serviços profissionais de segurança.

As orientações fazem todo sentido, mas trazem uma constatação preocupante: até os novos mecanismos de IA já aprenderam quais são as vulnerabilidades a que estão sujeitas as empresas quando o assunto é cibersegurança. Com o uso massivo de tecnologia e manipulação de dados, as probabilidades de uma organização sofrer uma invasão cibernética aumentaram exponencialmente. Tanto que este tema começa a transpor os limites da área de TI e se torna uma preocupação maior, que diz respeito a todo negócio.

Um relatório produzido pela Cybersecurity at MIT Sloan (CAMS) revela que a cibersegurança está em alta nas agendas dos conselhos diretores. Dentre os 600 entrevistados, 77% concordam que a segurança é uma prioridade para o conselho e 76% confirmam discutir esse assunto pelo menos uma vez por mês na corporação.

Ataques cibernéticos costumam causar prejuízos como indisponibilidade de sistemas, perda e vazamento de dados. “Isso implica, no mínimo, em problemas no core business: atendimento, produção e faturamento. Sem falar na insatisfação de clientes e na perda de uma reputação empresarial construída durante anos”, diz João Alvarenga, professor convidado do núcleo de inovação e empreendedorismo da Fundação Dom Cabral (FDC). Segundo ele, alguns estudos evidenciam uma perda de US$ 50 para cada minuto que a empresa fica parada após um ataque cibernético.

Além das consequências financeiras, há também as sociais e ambientais, como um ciberataque que interrompa o fornecimento de energia de um hospital ou afete um sistema de transporte. E, ainda, efeitos geopolíticos. “O relatório de cibersegurança do Fórum Econômico Mundial de 2023 apontou que 93% dos líderes de cyber concordam que a instabilidade geopolítica global pode causar um evento cibernético catastrófico nos próximos dois anos. Entre os líderes de negócios, 86% compartilham dessa opinião”, afirma Alvarenga.

Diante desse cenário, Claudinei Elias, fundador e CEO da Bravo GRC, acredita que é necessário adotar uma nova abordagem na gestão de riscos cibernéticos. “É preciso integrar riscos cibernéticos com riscos corporativos, pois isso possibilita entender melhor quais são os impactos no negócio e as atitudes a serem tomadas”, afirma. Essa visão envolve toda a empresa, da TI ao alto escalão, ou seja, top down e bottom up. “Hoje, em função do uso amplo de tecnologias, a área de cibersegurança passa a ser transversal, corporativa e sistêmica”, afirma o executivo.

Problemas complexos, soluções complexas

Atualmente, o principal risco de ciberataques está relacionado a pessoas. Alvarenga conta que 90% dos casos são os próprios funcionários, na maioria das vezes de maneira involuntária, que provocam as invasões, ao abrir um e-mail malicioso, ao clicar em algum link por curiosidade ou ao fazer um download de caráter pessoal. Em relação aos riscos externos, o professor da FDC lista os mais comuns: malware, phishing, ransoware, reutilização de credenciais e ataque de senha.

Com os avanços tecnológicos, além desses problemas, novos e sofisticados desafios rondam as empresas. De acordo com Elias, parece filme de ficção científica, mas hoje não apenas hackers ou instituições criminosas promovem ciberataques, mas mecanismos de IA também têm essa capacidade. “Estamos falando de uma exposição de máquina para máquina, de tecnologia para tecnologia”, afirma. Como é tudo muito recente, não existem controles para saber exatamente quem está atacando: um humano ou uma máquina.

De acordo com ele, soluções de firewall e outras usando hardware e software para proteção da organização ainda são válidas, mas há opções avançadas e que são tendência para mitigação de riscos, como cibersecurity as a service (CSaaS), secure access service edge (SASE), estrutura de segurança baseada em nuvem para proteger dados, usuários e aplicativos das empresas; e breach and attack simulations (BAS), método capaz de identificar os ativos críticos da organização (ou seja, as informações mais preciosas), e fazer simulações do caminho que um hacker ou IA possa percorrer até atingir esse alvo – dessa maneira é possível mapear as vulnerabilidades e se proteger.

Outro tipo de proteção a ser considerada é a contratação de seguros que garantem indenização de danos decorrentes de ataques cibernéticos, como roubo e vazamento de dados. “Custos relacionados à extorsão cibernética, sanções administrativas, lucros cessantes da empresa e de terceiros são algumas das coberturas que a apólice pode ter devido a um risco potencial de grande perda de dinheiro em um ataque”, explica Alvarenga.

Para esse tipo de cobertura, as seguradoras exigem que a empresa adote medidas de gestão e ferramentas de cibersegurança. Nesse sentido, os seguros podem servir como um instrumento que ajudará a avaliar processos e metodologias de governança. “O próprio levantamento de risco feito pela seguradora vai alertar sobre os problemas existentes. A partir do momento que você conhece as vulnerabilidades, consegue corrigir as falhas e tornar o ambiente mais seguro”, ressalta Elias.

O interesse por essa modalidade de seguros é crescente. O estudo Seguros contra ciberataques: como otimizar a alocação de capital e mitigar riscos do sistema de informação, feito pela Bravo Research, braço de insights e inteligência da Bravo GRC, aponta que o mercado de seguros para ciberataques deve saltar de um valor de US$ 11,924 bilhões, em 2022, para US$ 29,214 em 2027, crescendo a uma CAGR de 19,6% no período.

Implementar a gestão de riscos cibernéticos é uma necessidade para organizações de diferentes setores e portes, que enfrentarão problemas de acordo com seu contexto. As soluções mais adequadas dependem do grau de maturidade de cada uma. Segundo Elias, há empresas que ainda fazem de conta que o problema não existe, enquanto outras investem cifras milionárias em soluções de prevenção de ciberataques, mas não dão continuidade.

“A organização não precisa começar se protegendo pelo estado da arte. Isso é uma jornada, vai levar tempo, mas é importante dar o primeiro passo. Costumo dizer: pense grande, comece pequeno e escale”, conclui Elias.