Prevenção é fator-chave na segurança digital

Ataques cibernéticos estão cada vez mais na ordem do dia. Estamos falando de roubos e vendas de dados corporativos, extorsões, espionagem, fraude de identidades de clientes, e todas as categorias de crimes por meio digital; a lista é longa. Em fevereiro último, por exemplo, a Lojas Americanas reportou um acesso não autorizado aos seus sistemas, e tornou o e-commerce indisponível por quatro dias. Segundo estimativa da corretora XP, o ataque teria gerado à Americanas um prejuízo de R$ 250 milhões. Como chegamos a esse ponto?

Os cibercriminosos se mostram cada vez mais preparados para identificar e aproveitar as vulnerabilidades e as "oportunidades de negócios” emergentes das organizações. Por exemplo, a expansão do trabalho remoto nos últimos dois anos trouxe vulnerabilidades novas, uma vez que as residências dos funcionários não contam com a mesma proteção de tecnologia da informação (TI) que é oferecida nos escritórios. Já a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2021, ampliou as oportunidades no “mercado de sequestro de dados como um serviço” – o chamado ransomware as a service. E os criminosos nem precisam mais ter o trabalho de desenvolver um vírus. Basta que “adquiram” um malware pronto em marketplaces clandestinos da dark web para executarem seus golpes.

O cenário torna urgente o investimento em cibersegurança por companhias de todos os portes e setores. Ainda mais no Brasil, considerando que é o quarto alvo preferido dos criminosos virtuais, segundo um levantamento recente da consultoria alemã Roland Berger. Essa estatística tem coerência com o que especialistas da área ouvem de seus interlocutores no dia a dia, e não apenas clientes – há relatos frequentes de amigos ou parentes que caíram num golpe digital.

Isso exige das empresas que tenham tanto abordagens reativas como proativas em relação a cibersegurança. Neste artigo, focamos uma abordagem proativa específica, que consiste em considerar a segurança de um produto digital – como um aplicativo – desde seu design.

Reação ou prevenção?

Garantir a segurança digital é estratégico para mitigar riscos, prevenir prejuízos financeiros e atender às expectativas dos clientes. No entanto, quem desenvolve um produto tecnológico não costuma priorizar o assunto; o foco costuma ser na formulação de ofertas elegantes, comercializáveis, amigáveis ao uso e cheias de funcionalidades. Essa foi a conclusão de Keri Pearlson, diretora-executiva do consórcio de pesquisas em cybersecurity da MIT Sloan School, e Keman Huang, professor da Renmin University da China, numa pesquisa em profundidade feita com 44 designers de três grandes empresas globais, ligadas aos setores de telecomunicações, energia e automação digital. E, em um segundo momento, foi validada com executivos de empresas ranqueadas no Fortune 500 e fornecedores de soluções de cibersegurança.

A razão para não haver a prioridade desejável? Segundo a pesquisa de Pearlson e Huang, há um temor dos profissionais de que preocupações de cibersegurança possam atrasar o lançamento do produto e ampliar a necessidade de investimentos.

Como agir diante dos desafios

As empresas costumam atuar de três maneiras em relação a cibersegurança – todas elas reativas – no desenvolvimento dos produtos. Elas geralmente fazem:

• Correções de vulnerabilidades na segurança após o produto estar pronto. • Revisão do design e dos processos de desenvolvimento por meio de checkpoints. • Inclusão de um consultor de segurança no processo de desenvolvimento – nem sempre especialista no assunto e normalmente utilizado por diversas equipes.

Esses não são os melhores caminhos. Adota postura reativa faz com que o trabalho de identificação e resolução de problemas pela equipe de TI (e todas as outras equipes) seja muito mais difícil, lento e custoso. A vulnerabilidade que abre flanco para ataques virtuais muitas vezes está em um software que possui um erro em sua lógica ou algum tipo de erro conhecido que não foi tratado no próprio código, ocasionando um grande esforço para correção e aplicação da correção que está envolvida num grupo em cadeia.

Um bom caminho, como já mencionado, deve antecipar problemas, utilizando inteligência artificial e machine learning durante a fase de desenvolvimento do produto. Definir a segurança como elemento indispensável na concepção do aplicativo permite rastrear, diagnosticar e resolver problemas nessa área antes que o usuário final possa perceber. Isso minimiza eventuais impactos no negócio.

Além de a segurança entrar na pauta de qualquer oferta digital desde o início do projeto, é fundamental que as lideranças insiram o assunto como prioridade na cultura corporativa. Explicar a importância da segurança de seu app é equivalente a explicar para qualquer pessoa a importância da saúde de seu corpo. Ambos simplesmente não conseguem funcionar bem se houver algo errado, e sempre estarão à mercê de problemas internos e externos se não se cuidarem.

Ao mesmo tempo, a liderança pode disponibilizar às equipes uma consultoria de especialistas e proporcionar treinamento específico, de modo a adotar protocolos e práticas básicas tanto quanto avançadas de design de segurança, implementar testes e compreender as expectativas dos clientes. Em outras palavras, cabe aos executivos C-level apoiar a cultura de segurança em suas empresas, como comentam Pearlson e Huang.

No Brasil, o mercado financeiro oferece um exemplo virtuoso desse processo: alguns grandes bancos já utilizam alguns passos do modelo de construção de uma cultura de segurança cibernética discutidos aqui, afetando direto o “bolso” de quem não cumpre, dando destaque para quem cumpre, oferecendo treinamento para diminuir esse abismo de conhecimento entre equipes e continuar a transmitir as principais mensagens.

É mais comum, no entanto, que os profissionais de TI brasileiros tenham o comportamento reativo que a pesquisa levantou a partir de operações globais. Eles concentram seus esforços no desenvolvimento de funcionalidades e na lógica interna do app, deixando a segurança como última etapa, por motivos de tempo de entrega ou de limitações orçamentárias. A pressão para entregar aplicativos “prontos”, sem segurança comprovada, não deveria existir. Pelo contrário, essa cultura deveria ser rechaçada. E essa mudança de mentalidade deve vir de cima.