Em sua última pesquisa, o Fórum Econômico Mundial destacou os principais riscos para 2019 e com ênfase na recorrência dos riscos cibernéticos.
Com o avanço da tecnologia, os riscos cibernéticos deixaram de habitar as telas dos cinemas para literalmente invadir o mundo dos negócios, mostrando a mesma velocidade que adotamos com recursos inovadores e que devemos atentar aos riscos que podem inviabilizar e descontinuar as operações das empresas.
O que claramente se vê nos meios de comunicação são notícias de invasões, ataques, vulnerabilidades que afetam as pessoas físicas e jurídicas tornando o risco cibernético uma das principais preocupações para as empresas.
Atualmente o risco cibernético é o quinto mais preocupante no mundo, e o principal risco na América Latina. Os ataques cibernéticos em ativos causam mais interrupções aos negócios do que ataques as propriedades e equipamentos. A perda de receita com incidentes cibernéticos gira em torno de 8 a 10 porcento e para finalizar estes números assustadores vale salientar o custo médio de um incidente cibernético está na casa dos milhões.
Mas podemos ver uma pequena luz no fim do túnel, o cenário para crimes cibernéticos e uso indevido de dados pessoais deve mudar com o advento da Lei Geral de Proteção de Dados que entrará em vigor em agosto de 2020.
A Lei regula e protege o uso e o processamento dados pessoais garantindo aos indivíduos detentores destes dados seus direitos fundamentais, assim sendo, obriga as empresas a adotarem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
As empresas devem atentar para as multas de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Como nosso intuito é dar foco ao risco cibernético vamos citar abaixo o conjunto de diretrizes e melhores práticas do CIS (Critical Security Controls) que são reconhecidas globalmente.
Controles Básicos:
1) Inventário e Controle de Ativos de Hardware
2) Inventário e Controle de Ativos de Software
3) Gerenciamento Contínuo de Vulnerabilidades
4) Uso controlado de privilégios administrativos
5) Configurações seguras para hardware e software em dispositivos móveis, laptops, estações de trabalho e servidores
6) Manutenção, Monitoramento e Análise de Logs de Auditoria
Controle de Proteção de Dados:
7) Proteções de e-mail e navegador da web
8) Defesas contra Malware
9) Limitação e controle de portas de rede, protocolos e serviços
10) Recursos de Recuperação de Dados
11) Configuração segura para dispositivos de rede, como firewalls, roteadores e switches
12) Defesa de Fronteira
13) Proteção de dados
14) Acesso controlado com base no conceito “need -to-know“
15) Controle de acesso sem fio
16) Monitoramento e Controle de Contas
Controles Organizacionais:
17) Implementar um programa de conscientização e treinamento em segurança
18) Segurança de Software de Aplicação
19) Resposta e Gerenciamento de Incidentes
20) Testes de penetração e exercícios do time de resposta
Vale ressaltar que aplicando os 20+ Critical Security Controls, sua empresa pode prevenir 97% dos ataques.
A Resolução nº 4.658, de 26 de abril de 2018, do Banco Central, dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. Contudo, o mercado ainda carece de melhor aparato legal que coíba os crimes cibernéticos. É preciso melhorar ainda mais o arcabouço legal, ampliar penas e reforçar os critérios de investigação.
Em que pese no Brasil ainda não tenhamos uma legislação específica para proteção de dados, os ataques tornam-se cada vez mais recorrentes. A tendência é de que uma lei surja em breve. Todavia, já resta evidenciado que mais do que instigar clientes a investir em tecnologia, a contratação de seguro cyber risks garante a segurança dos clientes.