Brechas de segurança, relacionadas à desatualização de componentes, respondem por 92% das vulnerabilidades críticas de infraestrutura de empresas brasileiras. É o que afirma o Relatório de Ameaças 2016 da iBLISS Digital Security, que teve como base pesquisas realizadas, nos últimos 12 meses, em mais de 70 empresas, de diversos setores, entre eles: cartões, esportes, e-commerce, finanças, indústria, internet, logística, seguros, tecnologia, telecomunicações e varejo.
Com isso, foi possível criar um relatório de ameaças completo com as maiores vulnerabilidades presentes no ambiente corporativo, incluindo falhas de infraestrutura e de aplicação de diversos níveis de criticidade, no Brasil.
A iBLISS é uma empresa brasileira especializada em serviços e desenvolvimento de soluções para Segurança Digital. Há 7 anos, apoia empresas 100+ da Exame e Fortune 500, em projetos de Segurança da Informação de alta complexidade, através de programas estratégicos orientado ao negócio, que visam possibilitar a melhoria contínua da maturidade em segurança digital com redução de custos.
Em entrevista exclusiva, Leornado Militelli, CEO e fundador da iBLISS, fala um pouco sobre a realidade do mercado brasileiro em questão de cibersegurança. Confira aqui.
DatacenterDynamics: Por que as empresas brasileiras são tão desatualizadas?
Leonardo Militelli: Isso depende da maturidade de cada empresa e de cada mercado. Mas no geral, investimento em segurança digital pelas empresas é baixo no Brasil. A Segurança da Informação somente é lembrada quando a empresa sofre alguma fraude, invasão ou impacto na produção. E, neste caso, a conta fica mais cara.
DCD: O Brasil precisa urgentemente de um plano de ação para a cibersegurança?
L.M.: Sim, para a iniciativa pública e privada. Alguns países já anunciaram seus planos de investimentos em cibersegurança, como Estados Unidos, Comunidade Européia e Inglaterra, que ultrapassam US$2 bilhões. Aqui na América Latina os países já possuem leis de proteção de dados pessoais, mas no caso do Brasil existem poucas regulamentações específicas; os investimentos em segurança digital ficam a critério de cada empresa.
Além disso, tem um fator cultural muito forte quanto a importância da privacidade e responsabilidade digital. Isso é um ponto de atenção, que precisa ser trabalhado a partir da base nas escolas.
DCD: Qual é hoje a maior vulnerabilidade brasileira em matéria de cibersegurança? Por quê?
L.M.: O maior perigo é o desconhecimento. O tema ainda não tem a devida atenção nos conselhos administrativos e diretoria, porém vem ganhando espaço. É preciso compreender que a falta de uma atualização de software ou uma falha no código, pode impactar diretamente uma empresa. Por sua vez, a área de segurança da informação precisa viabilizar o negócio com o menor risco possível.
DCD: Hoje o Brasil tem um número significativo de profissionais de cibersegurança?
L.M.: Sim, existem muitos profissionais e muitas oportunidades em aberto, porém a falta de recursos capacitados faz com que uma vaga demore até seis meses para ser preenchida.
Globalmente, a ISACA, associação sem fins lucrativos, estima que haverá um déficit de 2 milhões de postos de trabalho em cibersegurança até 2019.
DCD: Mesmo com a aprovação do Marco Civil, é sabido que a medida não pode banir a espionagem. Diante disso, quais são as nossas outras proteções aqui?
L.M.: Os tipos de proteção variam de acordo com o segmento e operação de cada empresa, mas a atenção tem que estar voltada para três pilares: conscientização de pessoas, construção de processos de segurança e gestão de ameaças.
As empresas devem investir em programas de conscientização para todos os níveis hierárquicos, o que evita cair em armadilhas digitais. Devem também, inserir requisitos de segurança em seus processos, seja de admissão, no desenvolvimento de software ou nos contratos com fornecedores.
Além disso, estabelecer controles para gerir as ameaças e acompanhar o estado de segurança das tecnologias em uso, sejam servidores, apps, serviços cloud, IoT, entre outros.
DCD: Em termos de legislação, o que poderia ser feito?
L.M.: A criação de leis mais restritivas e específicas. Hoje, o cidadão, usuário ou cliente não tem respaldo legal quanto à sua privacidade digital. Veja o caso recente envolvendo a primeira dama Marcela Temer. Se o cracker não tivesse entrado em contato com a vítima pedindo um resgate, não haveriam sinais de crime.
O primeiro passo já está sendo feito. Existe um Projeto de Lei de proteção de dados pessoais (PL 5276/2016), que tramita com prioridade na Câmara dos Deputados, que irá regular a coleta, armazenamento, processamento e divulgação de dados pessoais em todos os segmentos verticais. Com isso, as empresas deverão aplicar os processos e tecnologias necessárias para garantir a confidencialidade e privacidade dos dados de seus clientes.