Por Marcelo Mendes Santos, Gerente de TI CISO da NEO
O ano de 2022 está sendo bem movimentado. E, infelizmente, não estou falando da guerra na Ucrânia, das tensões políticas em Tawian, da Copa do Mundo que vem por aí ou mesmo das eleições presidenciais no Brasil. O fato é que, no mundo da Tecnologia da Informação, este ano entrará para a história pelo aumento recorde nos casos de incidentes relacionados à cibersegurança. Até o momento, o cenário não é nada animador, isso porque, de acordo com o último levantamento da CheckPoint Research (CPR), divisão de Inteligência em Ameaças da companhia israelense CheckPoint, o segundo trimestre de 2022 apresentou um pico histórico, com um aumento dos ataques cibernéticos globais na ordem de 32% em comparação com o segundo trimestre de 2021 (o Brasil apresentou um crescimento acima da média, em torno de 46%).
Pelos dados atuais, a América Latina registrou o maior aumento nos ataques, com uma em cada 23 organizações impactadas semanalmente (um aumento de 43% em comparação com o segundo trimestre de 2021, quando o índice apontou ataques a uma em cada 33 organizações). Em nível global, os ataques de ransomware atualmente afetam uma em cada 40 organizações por semana, o que representa um aumento de 59% em relação ao segundo trimestre de 2021. Por aqui, a CPR aponta que as organizações brasileiras foram atacadas 1.540 vezes semanalmente, e que o crescimento do trabalho remoto e a disposição das organizações em pagar resgate quando dados são sequestrados impactam consideravelmente no crescimento dos incidentes. Por isso, considero importante discutir um tema que, em tempos de preocupações com as sanções da LGPD, chega a soar como algo corriqueiro, mas que, no fundo, é indispensável: o estabelecimento de Políticas de Segurança da Informação (PSI) nas empresas.
Priorizar uma sólida política de segurança da informação é crucial para manter os seus dados livres de ataques, vazamentos e outros riscos. Cada vez mais os dados são considerados bens valiosos, e resguardar informações, sobretudo quando o seu core business está intimamente ligado à Experiência do Cliente (CX), não é diferencial - é obrigação! Mas, afinal, por que é importante estabelecer uma PSI efetiva?
Por vários motivos. Na prática, uma política de segurança da informação nos permite estipular as regras e procedimentos que todos os indivíduos da organização devem seguir - ou seja, podemos definir os parâmetros de confidencialidade, a disponibilidade (ou seja, os níveis de acesso aos dados para cada colaborador) e o que acontece com quem não segue as regras.
O objetivo das políticas de segurança é mapear e abordar as ameaças, implementar estratégias e definir diretrizes para mitigar as vulnerabilidades de segurança em TI. E, por meio de uma PSI bem documentada, temos não só mais segurança em casos de violação de dados, como também subsídios para realizar o trabalho preventivo, que, vale destacar, é essencial e precisa ser totalmente baseado em políticas educacionais e de orientação, mostrando aos colaboradores o que fazer e, principalmente, o que não fazer.
Para instituir a PSI de maneira eficaz é necessário esforço, disciplina e registro em documento, como um elo entre colaboradores, processos internos, segurança e tecnologia. E se futuramente uma violação de segurança acontecer, muito provavelmente um dos termos estipulados na PSI terá falhado - mas, neste caso, você saberá como agir, inclusive o que deverá ser feito em relação a quem não seguiu as regras (sim, a PSI precisa prever sanções para quem direta ou indiretamente esteja envolvido em um incidente relacionado à quebra de segurança). Agora, imagine não dispor de medidas de proteção? Além de fazer parte de posteriores estatísticas, você pagará caro por isso, já que, pelas regras da LGPD, um vazamento indevido de informações pessoais de Clientes pode render uma multa entre R$ 50 milhões a 2% do faturamento total da empresa. Em suma, prevenir ainda é melhor do que remediar.