Reguladores de Cibersegurança: medidas para empresas e órgãos
Cibersegurança: medidas para empresas e órgãos reguladores atuarem em casos críticos 
Compartilhe:
Assine nossa newsletter

Fique por dentro das melhores notícias, eventos e lançamentos do mercado




    Cibersegurança: medidas para empresas e órgãos reguladores atuarem em casos críticos 

    Publicado em: 15 de janeiro de 2024

    Ataques cibernéticos, como o ransomware, não são problemas técnicos, mas uma preocupação para os reguladores de cibersegurança do mundo. 

    À medida que o mundo empresarial se torna cada vez mais dependente de tecnologia, os incidentes de segurança da informação se tornaram uma ameaça significativa para as organizações. Ataques cibernéticos, como o ransomware agora não são meros problemas técnicos, mas uma preocupação de grande relevância para reguladores de cibersegurança do mundo todo. 

    Segundo dados divulgados pela Fortinet, empresa de software, produtos e serviços de cibersegurança, o Brasil é o segundo país mais atingido por ataques cibernéticos na América Latina, ficando atrás apenas do México.  

    Ainda conforme a pesquisa, em 2022 o país testemunhou uma impressionante marca de 103 bilhões de tentativas de ataques, registrando 16% a mais em relação ao ano anterior. Além disso, aproximadamente 86% desse total está relacionado ao ransomware, indicando motivação financeira substancial por trás dessas ações. 

    Esses dados revelam que, à medida que a tecnologia avança, os cibercriminosos se adaptam rapidamente a novas práticas diante às vulnerabilidades. Essa posição coloca não apenas as empresas em risco, mas também a privacidade e a segurança das informações de clientes e parceiros.  

    Nesse aspecto, os reguladores, como a Comissão de Valores Mobiliários (CVM), Banco Central do Brasil (BCB) e a Superintendência de Seguros Privados (SUSEP) têm adotado uma postura proativa em relação à segurança cibernética, estabelecendo diretrizes rigorosas que as empresas listadas devem seguir. Tudo isso com o objetivo de garantir a proteção da confidencialidade, integridade e disponibilidade dos dados.

    Assim, utilizar ferramentas especializadas é fundamental para o monitoramento da segurança das informações em tempo real, tendo como foco indicadores de riscos para a mitigação de ameaças e melhoria dos controles. No entanto, é relevante que as empresas tenham comandos efetivos, que sejam adequados ao tipo de mercado de atuação, bem como ao porte e complexidade da operação.  

    Além disso, estes controles precisam levar em conta o fluxo de comunicação interna, pois nem sempre um incidente começará na infraestrutura de TI e, assim, não será gerado um alerta nos monitoramentos de tecnologia. Portanto, além dessa logística, deve-se ter o treinamento e a conscientização dos funcionários. 

    Isso porque é de extrema importância que os colaboradores não caiam em armadilhas como phishing, ou seja, e-mails falsos que permitem o roubo de informações que podem resultar em invasões na infraestrutura de TI. Logo, para que episódios como estes não ocorram, as organizações devem estimular a comunicação efetiva em torno destes incidentes, além de promover a atenção da gestão de terceiro.  

    Nesse contexto, é de extrema importância que os usuários comuniquem às áreas de governança corporativa a mínima suspeita de um eventual ataque cibernético, bem como informar qualquer falha ou erro operacional, em que dados de pessoas naturais, clientes, inclusive da empresa, entre outros, possam ter sido tratados de forma irregular. Afinal, de nada adianta os investimentos internos se os prestadores de serviço não adotam os mesmos padrões que a contratante. 

    É contundente que as empresas abordem determinadas questões desde o momento da contratação, com a formalização de termos de confidencialidade (non-disclosure agreement – NDA), que são elaborados com rigor para garantir que todas as partes entendam as responsabilidades e os riscos associados à gestão de informações sensíveis. Além disso, deve priorizar a due dilligence (em português, ‘diligência prévia’) com os fornecedores, o que envolve avaliar a capacidade de proteger dados e informações confidenciais da empresa.  

    A partir dessas medidas, as organizações podem reduzir significativamente os riscos relacionados à segurança da informação e garantir que os dados permaneçam protegidos, independentemente de onde residam no ecossistema corporativo. Essa abordagem não apenas protege, mas também amplia a confiança de clientes e parceiros de negócios. 

    *Alexandre Tamura e Julia Bersan atuam na área de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados. 

    Compartilhe:

    Publicações relacionadas

    Gerenciamento de Projetos: o papel do PMO (Project Management Office)

    26 de janeiro de 2024

    Um PMO bem estruturado apoiando o trabalho dos GPs permite projetos mais bem planejados e conduzidos. Saiba mais.

    Leia mais

    Lei de Serviços Digitais: como a regulamentação deveria ser tratada no Brasil? 

    22 de janeiro de 2024

    A Lei de Serviços Digitais entrou em vigor na União Europeia em novembro de 2022, para regular o conteúdo online

    Leia mais

    O papel da segurança cibernética no processo de inovação das empresas

    13 de dezembro de 2023

    Com a rápida transformação da TI, organizações enfrentam pressões contínuas para inovar. Nesse contexto, a segurança cibernética ganha força.

    Leia mais

    8 passos para construir uma cultura de Segurança da Informação com gamificação

    8 de dezembro de 2023

    Sem dúvida, a Tecnologia da Informação (TI) tem um papel fundamental nos processos de Segurança da Informação, pois viabiliza controles que garantem a proteção ou, no mínimo, mitigam os riscos. Porém, acreditar que essa área é responsabilidade exclusiva da TI talvez seja a maior fragilidade das empresas. Sem uma participação efetiva de todos os colaboradores, […]

    Leia mais