Segundo a Cybersecurity Ventures, os prejuízos relacionados ao cibercrime devem alcançar a marca de US$ 10,5 trilhões por ano até 2025. É uma projeção que comprova a enorme responsabilidade que os Chief Information Security Officers (CISOs) têm em proteger os ativos digitais e informações sensíveis das empresas.
Para Bruno Telles, COO da BugHunt, companhia brasileira de cibersegurança pioneira em Bug Bounty na América Latina, organizações de todos os portes precisam realizar um monitoramento contínuo de ameaças, justamente para responderem a eventuais incidentes rapidamente. “A capacidade de identificar e mitigar riscos cibernéticos em tempo real é essencial para minimizar potenciais danos, sejam eles relacionados à reputação da marca ou financeiros”, diz.
Uma vez que antecipar ataques pode fortalecer as defesas contra esses crimes, há alguns investimentos fundamentais a se fazer em cibersegurança. Visando ajudar os CISOs no direcionamento eficiente de recursos, o especialista elencou os 5 principais deles.
- Adoção da abordagem Zero Trust
Um dos ataques cibernéticos mais comuns nos dias atuais é o phishing, que basicamente envolve o roubo e uso fraudulento de dados pessoais. Com essas técnicas se tornando mais complexas e personalizadas, Telles ressalta que o mantra das organizações deve ser: “Não confie, sempre verifique”.
“Minimizar a superfície de ação criminosa é o primeiro ponto de partida de qualquer estratégia de cibersegurança. A abordagem Zero Trust (“Zero Confiança”) prioriza justamente a restrição de acessos a usuários ou dispositivos, sejam internos ou externos à rede, que não possuem verificação. Com isso, a prevenção contra agentes mal-intencionados já começa a ganhar corpo”, explica o executivo.
- Conformidade com regulamentos de privacidade de dados
A aderência a normas globais e locais de proteção de informações sensíveis, como a Lei Geral de Proteção de Dados (LGPD), é mais do que uma obrigação legal. Seguir essas regras cria uma cultura organizacional sólida no que diz respeito à relevância da privacidade, resguardando a organização em questão e os seus colaboradores.
Por esse motivo, o COO reforça que as empresas devem promover programas de conscientização e treinamento contínuos, adaptados à realidade e ao papel de cada funcionário. “O envolvimento da liderança é vital para enfatizar a governança ligada ao tema, incentivando a comunicação aberta sobre vulnerabilidades, incidentes e o funcionamento do universo digital como um todo”, afirma.
- Segurança da Internet das Coisas (IoT)
Com o crescimento da IoT, automaticamente esse campo passou a ser cada vez mais atacado. Os criminosos buscam explorar as vulnerabilidades dos dispositivos dessa categoria, exigindo um grau de atenção maior às plataformas e sistemas interconectados.
“É recomendável que as companhias invistam em padrões e protocolos mais robustos dentro da sua estrutura digital, especialmente quando falamos de setores críticos, como infraestrutura de saúde, energia e industrial”, pontua Telles.
- Programas de Bug Bounty
Assim como o phishing, os ataques de ransomware (criptografia e roubo de dados sensíveis) também estão mais sofisticados, o que pede por estratégias inovadoras e que fogem das táticas convencionais. O Bug Bounty é uma delas, já que mobiliza uma comunidade de pesquisadores qualificados para identificar falhas antes que os invasores possam explorá-las.
A eficácia dessa abordagem foi comprovada na própria BugHunt em 2023. Cerca de 1,3 mil relatórios de vulnerabilidades foram produzidos no ano passado, ajudando empresas de diversos segmentos, como OLX e WebMotors, a se defenderem contra crimes cibernéticos.
- Cibersegurança proativa e Inteligência Artificial (IA)
O uso de IA é uma tendência crescente em praticamente todas as áreas, automatizando tarefas mecânicas e liberando os profissionais para se concentrarem em missões estratégicas. Não à toa, um estudo da IBM revela que 41% das empresas brasileiras já estão implementando a tecnologia em suas operações de alguma maneira.
Na cibersegurança não é diferente, como destaca o especialista da BugHunt: “A IA e o aprendizado de máquina são vias primordiais para a detecção proativa e preventiva de ameaças. Inclusive, a própria adaptação a novos tipos de ataques é otimizada com esse recurso, então não há dúvidas de que se trata de um investimento imprescindível a se fazer em 2024”, conclui.
Texto: Bruno Telles, COO da BugHunt