Cibersegurança em TI: como empresas podem garantir a proteção de dados?

É fato que a proteção de dados e a cibersegurança em empresas são assuntos que estão em alta no universo corporativo, mas é a fragilidade do cenário atual que revela o motivo: de acordo com um levantamento recente, só no Brasil, os ataques cibernéticos têm crescido cerca de 70% ao ano. Já na América Latina, que inclui mais 20 nações, entre elas Argentina, Chile, Uruguai e Venezuela, a porcentagem muda para 53% – um dado ainda preocupante.

Em escalas globais, temos uma média de 1.636 ataques por organização a cada semana. Além disso, um estudo da IBM também concluiu que o custo médio global de uma única violação, em 2023, chegou a US$ 4,45 milhões, um aumento de 15% ao longo de 3 anos.

Dado todo esse panorama, é fundamental que as corporações revisem suas práticas de segurança e busquem constantemente o aprimoramento das suas barreiras. Por isso, no quarto episódio do podcast PodSim, convidamos Edison Fontes, CISO da NAVA, e Georgia Rivellino, Diretora de Marketing e Produtos da Simpress, para falar mais sobre como é possível reforçar a proteção de dados e elevar a sua maturidade em cibersegurança.

Continue conosco e acompanhe um resumo desse rico bate-papo!

O assunto “cibersegurança” por si só já envolve diversas complexidades e atenção a todas as possíveis brechas que uma empresa possa ter, especialmente da parte da TI. Inclusive, Edison Fontes, CISO da NAVA, já começa ressaltando que uma coisa que falta para as empresas se posicionarem assertivamente na questão da proteção de dados é a maturidade em segurança. De acordo com o especialista, com exceção das instituições financeiras, ainda falta entendimento do tema por parte dos gestores.

Georgia Rivellino, Diretora de Marketing e Produtos da Simpress, também acredita que apesar de boa parte das empresas já trabalharem fortemente em governança e em proteção de dados, existem oportunidades de melhoria.

“(A empresa) se preocupa muito com aquele dado enquanto ele está em uso, ou com aquele device, enquanto ele está em uso, mas o que que se faz com os dados quando o equipamento chega no final da útil vida dele? Qual é o tratamento dado, por exemplo, para esse processo de sanitização? Como é que as empresas hoje apoiam a terceirização desses devices?”.

Para ela, a sanitização de dados é crucial para contornar os ciberataques. Ela ainda reforça que quando falamos de proteção de dados e cibersegurança, é preciso lembrar do importante papel do parceiro de TI, bem como de ter a sinergia necessária para cobrar esse parceiro, a fim de evitar ciberataques por entradas sensíveis, como endpoints.

Essa conversa ainda se estendeu para outras esferas, como a estrutura, o alinhamento corporativo, a identificação de ameaças, a boa gestão e as parcerias assertivas. Em suma, para Georgia e Edison, uma companhia que deseja contornar os ciberataques precisar ter:

●       Entendimento da maturidade em questões de segurança

Os especialistas concordam que muitas empresas ainda não têm clareza sobre a sua maturidade em cibersegurança ou proteção de dados. Para mudar o cenário, seria necessário ter regras e integrar essa compreensão em todos os níveis da organização, não apenas nas áreas técnicas.

●       Governança bem estruturada

A governança bem estruturada também impacta a proteção de dados e a consequente segurança da informação no TI e em outras repartições. Para Fontes, “cada um tem a segurança que merece. […] As organizações vão ter a segurança que planejam e implementam”.

●       Estar alinhado com a gestão, governança de segurança e governança corporativa

Outro ponto importante quando a pauta é proteção de dados é o alinhamento entre todas essas esferas: gestão, governança de segurança e governança corporativa.

“Uma falha em um equipamento ou um controle pode parar a organização”, destacou Edison. De acordo com o especialista, isso ressalta a importância de fazer com que tudo esteja relacionado, com regulações e regras de responsabilidade específicas devidamente integradas.

●       Mapear e identificar ameaças

Não há como falar sobre esse assunto, sem mencionar o mapeamento de possíveis ameaças.

Na visão de Georgia, muitas empresas já trabalham para cobrir todas as portas. Mesmo assim, para ela, ainda “é humanamente impossível elas entenderem como cada um desses devices se comportam sem apoio”. Já para Edison, “as empresas desconhecem ou não identificam quais são os seus ambientes de informação”.

Assim, o especialista enfatiza a necessidade de se ter uma visão clara de onde se localizam as informações e dos perigos que os dados e os sistemas enfrentam, para poder implementar estratégias de segurança realmente eficazes.

Com o mapeamento adequado, segundo Edison, é possível até mesmo alcançar o risco zero.

●       Garantir uma boa gestão de ponta a ponta

Ainda falando sobre as práticas de cibersegurança em empresas, Edison lembra que muitas vezes, a atuação técnica é implementada, mas falta um bom controle de gestão.

Georgia complementa que é primordial ter estrutura, e que diante dessa ausência é imprescindível contar com parceiros para atuar lado a lado, garantindo a proteção de dados e a segurança da informação no TI e em outros setores.

A especialista defende o estabelecimento de parcerias estratégicas, com práticas confiáveis, que assegurem uma boa gestão de segurança em todos os níveis.

●        Aliar-se a fornecedores de confiança

E por falar em parceiros para garantir a proteção de dados, Georgia ainda explica que no momento de buscar essas empresas, é preciso considerar a confiabilidade do fornecedor e as práticas de governança que ele adota:

“O que é levado em consideração muitas vezes é o preço e não o modelo de gestão, não o que ele tem, e as regras que ele tem estabelecidas”, pontua.

Segundo ela, essa não é a estratégia correta. Mas sim, o estabelecimento de parcerias com organizações que tenham bom histórico de segurança, para assim minimizar os riscos.

“Precisa ser critério de contratação, sabe? Qual é o perfil desse parceiro? O que ele me traz de governança? Quais são os processos que ele adota? Acho que isso é essencial, E isso não é levado em consideração”.

Os ciberataques não só comprometem as operações de uma empresa, mas também toda a sua estrutura. Ainda assim, algumas organizações se mantêm reticentes em relação a tudo o que envolve proteção de dados e cibersegurança.

Embora pareça absurdo não pensar em segurança nos tempos atuais, existe ainda, no mundo corporativo, uma ideia de que a segurança da informação no TI e em todos os outros setores inibe a inovação e o processo criativo, o que não é verdade.

Para Edison Fontes, uma forma de lidar com isso e garantir o equilíbrio ideal entre esses dois fatores é manter uma postura proativa e entender que os parâmetros e as normativas existem para garantir um ambiente seguro e igualitário.

“Uma coisa é a gente estar usando a inteligência artificial pública. Outra coisa é trazer inteligência artificial pro meu ambiente”, explica. E continua: “tem que estar alinhado com o negócio, tem que ter a questão de segurança, tem que ter as responsabilidades. Quem é responsável por essa base que você utiliza? Quem é responsável por fazer esses algoritmos? Como é que a gente vai garantir que esses algoritmos estão respeitando a equidade das pessoas? […] Quando você traz para sua empresa, você tem que ter responsabilidades”. Ou seja, para Fontes, a segurança existe para permitir que a inovação também exista.

Para Georgia, também é possível equilibrar. Sobre a conscientização do usuário, ela diz que o caminho é a educação somada a sistemas e processos de execução diária: “se eu tenho sistema que me apoia, se eu tenho uma governança que me dá alerta e fala “você não está fazendo”, eu lembro que eu tenho que ter aquilo como hábito, como uma prática”, diz.

Georgia enfatiza ainda que as corporações precisam assumir o papel de trazer essa consciência dentro do modelo que querem estabelecer.

Como as empresas podem fazer da gestão de risco um fator preventivo para ciberataques

Na reta final do episódio, os especialistas também discutiram sobre a gestão de riscos como um fator preventivo para ciberataques. Edison mencionou a necessidade das organizações refletirem sobre o assunto: “a gente tem que alavancar toda a questão de risco, custo, e verificar qual é a melhor solução”.

A necessidade de regras específicas para o uso de recursos e dispositivos também é um fator crucial. Sem contar que, na visão do especialista, as empresas não têm o costume de avaliar previamente o risco de suas ações, e isso acaba comprometendo a proteção de dados e a segurança da informação no TI e na empresa como um todo.

No que diz respeito ao alinhamento com parceiros confiáveis, tanto Georgia quanto Edison concordaram que é vital considerar a capacidade do parceiro de oferecer um modelo de gestão eficaz.

A Simpress, referência em outsourcing de TI, é também modelo a ser seguido quando a pauta é proteção de dados e cibersegurança em empresas. Há mais de 20 anos, a empresa tem se dedicado a simplificar a vida de seus clientes com aluguel de equipamentos, e garantir a segurança da informação no TI e em outros departamentos, com suas soluções de DRM, central de monitoramento, sanitização rigorosa de dados, entre outros processos.

Quer conferir o bate papo na íntegra e saber mais sobre proteção de dados, maturidade em cibersegurança e outros pontos abordados ao longo da conversa? Então ouça o episódio completo no Spotify ou acesse o vídeo abaixo e assista nossos especialistas no Youtube: