Cibersegurança em Foco: Desafios e Soluções para o Cenário Atual das Empresas

Em um mundo cada vez mais digital, a cibersegurança emergiu como um elemento crucial para a sustentabilidade e o sucesso das empresas. Diversos fatores, desde o uso de inteligência artificial (IA) por criminosos até a dependência crescente de serviços em nuvem, estão remodelando o panorama de segurança digital. Este artigo reúne insights e estratégias de diversos especialistas para abordar os principais desafios e soluções em cibersegurança enfrentados pelas empresas hoje.

Ameaças Crescentes e a Importância da Cibersegurança

A cibersegurança se tornou um pilar fundamental para as empresas, impactando diretamente a reputação, a conformidade regulatória e as operações diárias. A crescente digitalização e a evolução constante das ameaças cibernéticas exigem que as empresas implementem medidas robustas para proteger seus dados e evitar prejuízos financeiros e danos à imagem.

No Brasil, as tentativas de ataques cibernéticos atingiram a marca de 60 bilhões em 2023, de acordo com o FortiGuard Labs da Fortinet. Embora esse número represente uma redução em relação ao ano anterior, a natureza dos ataques se tornou mais sofisticada, com uma mudança no perfil das ameaças. Mais da metade dos ataques recentes envolveu o uso de IA generativa, destacando a urgência de fortalecer as defesas cibernéticas.

Regulamentações e a Nova Era de Transparência

A Network and Information Systems 2 (NIS2), que entrará em vigor na União Europeia em outubro de 2024, simboliza uma nova era de transparência e responsabilidade em cibersegurança. A NIS2 ampliará a obrigatoriedade de conformidade para cerca de 160 mil empresas e instituições, incluindo prestadores de serviços internacionais. Essa diretiva promoverá uma cultura de responsabilidade compartilhada e maior transparência nas práticas de segurança, impondo multas significativas por não conformidade. Empresas brasileiras que transacionam com o mercado europeu devem se preparar para essas mudanças.

Repatriação de Dados: Controlando Custos e Garantindo Segurança

A dependência de serviços em nuvem, inicialmente atraente pela eficiência e escalabilidade, tem levado muitas empresas a reconsiderar essa estratégia devido ao aumento dos custos e preocupações com a segurança e soberania dos dados. A repatriação de dados, ou seja, a transferência de informações de volta para infraestruturas locais, surge como uma alternativa para controlar despesas operacionais e garantir conformidade com as regulações locais. Este processo, no entanto, envolve desafios técnicos e financeiros significativos, exigindo um planejamento cuidadoso e uma abordagem híbrida que combine nuvem e infraestrutura local.

Gerenciamento de Riscos de Terceiros

Os ataques cibernéticos via fornecedores terceirizados estão aumentando, representando um risco significativo para as empresas. Paulo de Godoy, country manager da Pure Storage, oferece oito passos essenciais para mitigar esses riscos:

1. Estabelecer Novas Políticas e Procedimentos: Implementar políticas rigorosas para aquisição, auditoria e monitoramento de fornecedores terceirizados.
2. Controle do Volume de SaaS: Reduzir o número de aplicações SaaS para minimizar as superfícies de ataque.
3. Avaliação de Segurança de Terceiros: Desenvolver processos minuciosos para avaliar a postura de segurança dos fornecedores.
4. Criar Padrões de Compliance: Estabelecer padrões de compliance próprios, além das diretrizes básicas como SOC 2 e ISO 27001.
5. Fortalecer a Sinergia entre Departamentos: Garantir a colaboração entre TI, compras e InfoSec na seleção e monitoramento de fornecedores.
6. Redução de Privilégios: Implementar um modelo de acesso com menos privilégios para restringir o que os usuários podem acessar.
7. Apoiar Regulamentações: Adotar e apoiar regulamentações locais e internacionais, como a LGPD no Brasil e a Lei de Resiliência Operacional Digital (DORA) da UE.
8. Testes de Segurança Antecipados: Implementar testes de segurança no início do ciclo de vida de desenvolvimento do software para identificar e corrigir vulnerabilidades precocemente.

A Abordagem Proativa e Integrada

A integração de soluções tecnológicas avançadas, como blockchain, criptografia robusta e monitoramento contínuo, é essencial para mitigar as ameaças cibernéticas. Além disso, promover uma cultura organizacional de conscientização e treinamento em cibersegurança é crucial para fortalecer as defesas internas.

As empresas devem adotar uma abordagem proativa e integrada, combinando a proteção de dados sensíveis e operações críticas em infraestruturas locais com o uso da nuvem para tarefas menos críticas ou que demandam maior escalabilidade. Essa estratégia híbrida permite que as organizações aproveitem o melhor de ambos os mundos, garantindo segurança e eficiência operacional.

Conclui-se que à medida que o mercado de serviços em nuvem e as ameaças cibernéticas continuam a evoluir, é imperativo que as empresas se mantenham vigilantes e adaptativas. Investir em cibersegurança não é apenas uma medida preventiva, mas uma necessidade estratégica para proteger a reputação, os dados e a operação das empresas. Com uma abordagem integrada e proativa, as empresas podem navegar por esse cenário desafiador, fortalecendo sua segurança digital e garantindo um ambiente mais seguro e confiável para todos.

Fonte: Avivatec; Check Point Software; Felipe Rossi, CEO da 4B Digital; Paulo de Godoy, country manager da Pure Storage; PwC; Schneider Electric.

Veja mais sobre: Digital Operational Resilience Act (DORA)

“O DORA visa fornecer um quadro de resiliência operacional digital e de cibersegurança harmonizado, que emerge da necessidade de se estabelecer regras mínimas no que diz respeito à segurança das redes e sistemas de informação atualmente em vigor no seio da União Europeia, com vista a mitigar os riscos que emergem da inerente digitalização dos serviços financeiros.”.

• Disponível em: https://www.pwc.pt/pt/servicos/advisory/digital-operational-resilience-act.html

Saiba mais sobre o NIS2:

A Diretiva NIS 2 (Diretiva (UE) 2022/2555) é um importante ato legislativo da União Europeia que busca estabelecer um elevado nível comum de cibersegurança em todos os Estados-Membros. Ela substitui a Diretiva NIS original, ampliando o seu escopo e requisitos para refletir a evolução do panorama de ameaças cibernéticas e a crescente interdependência das redes e sistemas de informação.

Principais Objetivos e Requisitos da Diretiva NIS 2

1. Harmonização da Cibersegurança: A Diretiva visa assegurar que todas as entidades essenciais e importantes na UE adotem medidas de cibersegurança adequadas e proporcionadas. Isso inclui a implementação de medidas técnicas, operacionais e organizativas para gerir riscos e minimizar o impacto de incidentes.
2. Abordagem Baseada em Riscos: As medidas de segurança devem ser baseadas em uma abordagem de todos os riscos, o que significa que as entidades precisam considerar uma ampla gama de ameaças potenciais ao desenvolver suas estratégias de cibersegurança.
3. Expansão do Âmbito: A NIS 2 amplia a lista de setores e tipos de entidades cobertas, incluindo não apenas setores críticos como energia, transportes, saúde e infraestrutura digital, mas também setores como administração pública e serviços digitais.
4. Coordenação e Cooperação: A Diretiva reforça a cooperação entre os Estados-Membros, promovendo a troca de informações e melhores práticas. Também estabelece mecanismos para responder a incidentes cibernéticos de maneira coordenada.
5. Supervisão e Execução: Os Estados-Membros devem designar autoridades competentes para supervisionar a implementação da Diretiva. Estas autoridades têm poderes para impor sanções em caso de não conformidade.
6. Relatórios de Incidentes: As entidades devem relatar incidentes significativos de cibersegurança às autoridades competentes, permitindo uma resposta rápida e coordenada.

Implementação e Impacto

• Prazo de Implementação: Os Estados-Membros têm até outubro de 2024 para transpor a Diretiva NIS 2 para a legislação nacional.
• Impacto: A implementação da NIS 2 visa aumentar a resiliência cibernética das infraestruturas críticas da UE, reduzir a fragmentação regulatória entre os Estados-Membros e melhorar a capacidade de resposta a incidentes cibernéticos.

Para mais detalhes, você pode acessar o texto completo da Diretiva NIS 2 através do site oficial.

Veja também: “De NIS a NIS2 – a evolução da legislação europeia de cibersegurança”. Por Marco Tavares Pereira (Cybersecurity & Privacy Manager, PwC Portugal). Disponível em: https://www.pwc.pt/pt/sala-imprensa/artigos-opiniao/2023/legislacao-ciberseguranca-nis2.html