Foco em ciberseguro? Descubra por que focar primeiro em resiliência de cibersegurança

No primeiro semestre de 2021, a atividade de ciberinvasões aumentou 125%, globalmente, em comparação com o ano anterior. O número de ataques de ransomware aumenta a cada dia, e o desenvolvimento de “ransomware como serviço” (RaaS) transformou o cenário dos cibercrimes, oferecendo ransomware pronto para uso mesmo para invasores com conhecimentos técnicos limitados. O rápido desenvolvimento da economia digital e a mudança global para o trabalho remoto, ambos acontecendo parcialmente como resultado da pandemia, também levaram a um aumento global do cibercrime.

O aumento dos riscos de perigos digitais motivou as empresas a procurarem uma rede de segurança, como os ciberseguros, que minizem os efeitos de ciberataques iminentes. E as seguradoras reagiram rapidamente a essas exigências. Muitas empresas acreditam que um ciberseguro deve oferecer não apenas o capital necessário para cobrir os custos de violações em potencial, como também a ajuda de especialistas selecionados. A oportunidade de contar com um ciberseguro, no entanto, não deve impedir as empresas de construírem o seu próprio sistema de proteção e desenvolverem a sua resiliência cibernética. Afinal de contas, ter um nível avançado de cibersegurança reduzirá o valor do prêmio e medidas de segurança específicas serão necessárias antes de contratar o ciberseguro. 

Perguntas para fazer ao solicitar um ciberseguro:

1. Seria possível nos fornecer informações gerais sobre sua empresa, como área geográfica de atuação, faturamento anual e quantidade de dados pessoais que gerencia? 
2. Utilizam-se controles de autenticação multifator (MFA), gerenciamento de identidade e acesso (IAM) e gerenciamento de acesso privilegiado (PAM) para reduzir seus riscos?
3. Realizam-se correções e atualizações regulares?
4. As redes utilizadas são segmentadas?
5. Há um inventário dos seus ativos de software e hardware?
6. Contam com software de proteção de endpoint em todos os seus computadores?
7. Utilizam firewall?
8. Fazem backup regular de seus dados em uma mídia externa/serviço de nuvem protegido?
9. Seus dispositivos móveis estão protegidos – por exemplo, por meio de criptografia de dados?
10. Seus funcionários são regularmente informados sobre possíveis riscos cibernéticos? 
11. Contam com um plano funcional de resposta a incidentes?

Fonte: Federação das Associações Europeias de Gestão de Riscos, Preparing for cyber insurance

Ciberseguros podem ser muito úteis, mas esse nem sempre é o caso

As seguradoras costumam promover o ciberseguro como um produto indispensável para empresas de todos os portes e, até mesmo, para pessoas físicas. Esse tipo de seguro deve cobrir tanto os riscos primários de ciberataques, ou seja, a perda ou dano aos seus próprios dados, como os riscos de terceiros, que incluem a responsabilidade perante clientes ou entidades governamentais e reguladoras. Supostamente, um ciberseguro ajuda com custos de notificação de violação, análise forense, remediação, restauração de dados e também multas e taxas regulatórias, ou ações judiciais e ações movidas pelos clientes impactados. Quando uma empresa é atingida por um ciberataque, um dos maiores encargos financeiros reside na interrupção momentânea dos negócios até que a invasão seja resolvida com sucesso. O ciberseguro também pode ser de grande ajuda, oferecendo assistência financeira e especialistas que podem tentar combater o ataque. Ainda assim, um dos aspectos mais problemáticos dos ciberseguros é pagar aos cibercriminosos quando confrontados com um ataque de ransomware bem-sucedido. Não se recomenda realizar o pagamento de resgates, tanto por motivos práticos quanto éticos. 

Porque não se deve pagar o resgate? Em termos práticos:

1. A ferramenta de descriptografia oferecida talvez nunca seja entregue, venha com defeito ou até contenha malware adicional;
2. O processo de criptografia pode corromper alguns dados e, portanto, torna-se impossível recuperá-los mesmo depois de pagar o resgate;
3. O dinheiro pago valida o crime e financia ainda mais a atividade criminosa dos invasores;
4. Pagar resgate pode configurar uma ação ilegal – quando, por exemplo, os cibercriminosos têm ligações com grupos terroristas ou estão em listas de sanções;
5. Pagar resgate também pode encorajar os cibercriminosos a atacar repetidas vezes.

Existem diversos problemas potenciais que o seguro pode não cobrir, incluindo casos em que um funcionário ou contratados terceirizados perde(m) dados confidenciais não criptografados, outras falhas de infraestrutura que não são causadas por um ciberataque proposital, perda de dados sob os cuidados de terceiros (como alguns serviços de nuvem ou fornecedores externos) ou perda de dados de dispositivos móveis (incluindo tablets e laptops). Ainda, o seguro pode não cobrir o processo de notificar os clientes afetados ou restaurar os dados danificados, mas não roubados. Portanto, você continua sendo a pessoa que realmente detém as ferramentas capazes de proteger a sua empresa! 

Resiliência digital: Como podemos nos proteger?

• Conheça seus ativos

Saber quais são as possíveis brechas – vetores de ameaças – para os cibercriminosos é um dos primeiros passos em busca de um sistema de cibersegurança eficaz. Sem dúvidas, deve-se fazer um inventário de seus ativos on-line para protegê-los adequadamente. Uma regra idêntica se aplica a ativos “resgatáveis”, que incluem dispositivos IoT, roteadores SOHO, robôs, sistemas de controle e sistemas autônomos. Se quiser saber mais sobre como medir a exposição a riscos de cibersegurança do seu negócio;

• Use RDPs com sabedoria

Além de senhas fortes, o uso da autenticação multifator fortalece a proteção digital da sua empresa. Opte, no entanto, por uma solução MFA que não seja baseada em SMS, pois os hackers já possuem maneiras de quebrar esse tipo de proteção.

• Utilizar a autenticação multifactor (MFA)

Para além de palavras-passe fortes, a utilização da autenticação multifactor pode reforçar a proteção da sua empresa. No entanto, deve optar por uma solução MFA que não se baseie em SMS, uma vez que os hackers têm formas de ultrapassar este tipo de proteção.

• Além do armazenamento conectado à rede (NAS), tenha um backup de armazenamento externo

Sua empresa deve se esforçar para ter uma estratégia de backup abrangente que empregue não apenas armazenamento local, mas também externo. Se quiser ler mais sobre backup e recuperação de dados.

• Correções e atualizações

A aplicação regular de correções pode mitigar muitos riscos relacionados a diferentes tipos de ciberataques. Correções específicas podem melhorar a segurança do seu RDP ou dos ativos “resgatáveis” mencionados acima. Além disso, correções e atualizações estão entre as medidas que podem ser tomadas com foco na prevenção de alguns dos ciberataques de maior alcance, ou seja, ataques à cadeia de suprimentos. 

• Informe seus funcionários sobre para quem e como relatar qualquer atividade suspeita 

E-mails suspeitos ou alertas desconhecidos podem não significar uma presença imediata de perigo, mas prestar atenção a essas situações incomuns pode ser crucial na prevenção de ciberataques futuros. Todos os funcionários devem saber como proceder nessas situações e quem contatar, não devendo ter medo de fazer um relatório. O medo entre os funcionários muitas vezes tem origem na crença de que carregam alguma culpa pelo ataque ou quando tentam evitar um pânico desnecessário. Incentive reações rápidas entre as equipes, pois o objetivo é sempre impedir a ocorrência de um possível ataque.

• Tenha uma estratégia pronta com passos a seguir na ocorrência de um ciberataque

Mesmo que exista uma proteção completa, os cibercriminosos ainda podem encontrar maneiras de atingir o alvo. Por esse motivo, prepare um plano de resposta e recuperação e conscientize todos as partes potencialmente envolvidas sobre cada etapa a ser tomada no processo de resposta à atividade cibercriminosa. O plano deve incluir alertar o pessoal designado, consultores jurídicos, autoridades policiais e fornecedores que possam ajudar, isolando e analisando as máquinas afetadas pelo ataque ou até mesmo preparando uma declaração de imprensa. Ter um plano pronto não é o suficiente – sua estratégia de resposta também deve ser devidamente testada. Esse passo pode parecer óbvio, mas, de acordo com a AGCS, menos de 40% das empresas testam os seus planos de continuidade de negócios.

Concluindo, embora algumas empresas considerem desejável ter um ciberseguro – incluindo pequenas e médias empresas (SMBs), que muitas vezes precisam de ajuda financeira quando confrontadas com um ataque, ou empresas que dependem fortemente da confidencialidade, como aquelas do setor de saúde ou escritórios de advocacia – proteger empresas de forma eficaz sempre passa pela resiliência digital. O trabalho contínuo para aumentar a sua própria proteção de cibersegurança pode ser exigente, mas compensa a longo prazo. Conforme observado por Scott Sayce, da AGCS, “O papel dos ciberseguros sempre foi garantir uma boa gestão de riscos e prevenção de perdas. Uma boa maturidade de cibersegurança e um bom ciberseguro andam de mãos dadas. Compramos seguros para a nossa casa, mas isso não significa que deixemos a porta da frente destrancada. O mesmo é válido para a cibersegurança.”