{"id":20717,"date":"2023-02-10T17:31:07","date_gmt":"2023-02-10T20:31:07","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20717"},"modified":"2023-02-10T17:31:07","modified_gmt":"2023-02-10T20:31:07","slug":"5-cybersecurity-lessons-ceo","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/5-cybersecurity-lessons-ceo\/20717\/","title":{"rendered":"Cinco li\u00e7\u00f5es importantes de ciberseguran\u00e7a para CEO"},"content":{"rendered":"

A seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o \u00e9 nada menos do que estressante: a busca constante por poss\u00edveis incidentes e horas cronicamente longas s\u00e3o agravadas pela batalha sem fim com outros departamentos que veem a ciberseguran\u00e7a como um inc\u00f4modo desnecess\u00e1rio. Na melhor das hip\u00f3teses, eles tentam n\u00e3o pensar nisso, mas em casos especialmente graves, se esfor\u00e7am para evitar qualquer coisa relacionada \u00e0 seguran\u00e7a da informa\u00e7\u00e3o. Como resultado l\u00f3gico, 62% dos principais gerentes entrevistados<\/a> pela Kaspersky admitem que mal-entendidos entre os departamentos de neg\u00f3cios e de ciberseguran\u00e7a levaram a s\u00e9rios incidentes. Para mudar as atitudes de toda a empresa em rela\u00e7\u00e3o \u00e0 seguran\u00e7a, \u00e9 vital obter o apoio do mais alto n\u00edvel \u2013 do conselho de administra\u00e7\u00e3o. Ent\u00e3o, o que dizer ao seu CEO ou presidente, j\u00e1 que eles est\u00e3o sempre ocupados e provavelmente raramente com vontade de pensar no assunto? Aqui est\u00e3o cinco palestras did\u00e1ticas e diger\u00edveis para continuar repetindo nas reuni\u00f5es at\u00e9 que a ger\u00eancia s\u00eanior entenda a mensagem.<\/p>\n

Ensine ciberseguran\u00e7a \u00e0 equipe \u2013 e comece pelo topo<\/h2>\n

Qualquer treinamento requer confian\u00e7a no professor, o que pode ser dif\u00edcil se o aluno for o CEO. Estabelecer uma ponte interpessoal e ganhar credibilidade ser\u00e1 mais f\u00e1cil se voc\u00ea come\u00e7ar n\u00e3o com a estrat\u00e9gia, mas com a ciberseguran\u00e7a pessoal da alta administra\u00e7\u00e3o. Isso afeta diretamente a seguran\u00e7a de toda a empresa, pois os dados pessoais e senhas do CEO costumam ser alvo de golpistas.<\/p>\n

No caso, por exemplo, do esc\u00e2ndalo do final de 2022 nos EUA, quando hackers invadiram a rede social VIP Infragard<\/a>, usada pelo FBI para informar confidencialmente CEOs de grandes empresas sobre as ciberamea\u00e7as mais graves. Os invasores roubaram um banco de dados com endere\u00e7os de e-mail e n\u00fameros de telefone de mais de 80.000 membros e o colocaram \u00e0 venda por US$ 50.000. Armados com essas informa\u00e7\u00f5es de contato, aqueles que as compraram poderiam ganhar a confian\u00e7a dos CEOs afetados ou us\u00e1-las em ataques BEC<\/a>.<\/p>\n

Com isso em mente, \u00e9 fundamental que a alta gest\u00e3p use autentica\u00e7\u00e3o de dois fatores<\/a> com tokens USB ou NFC em todos os dispositivos, tenha senhas longas e exclusivas para todas as contas de trabalho, proteja todos os dispositivos pessoais e de trabalho com software apropriado e mantenha a vida digital do trabalho separada da pessoal. Em suma, as dicas usuais para o usu\u00e1rio cauteloso \u2013 mas refor\u00e7adas pela consci\u00eancia do custo potencial de um erro. Pela mesma raz\u00e3o, \u00e9 importante verificar novamente todos os e-mails e anexos suspeitos. Alguns executivos podem precisar da ajuda de algu\u00e9m da \u00e1rea de seguran\u00e7a da informa\u00e7\u00e3o para lidar com links ou arquivos particularmente suspeitos.<\/p>\n

Uma vez que a ger\u00eancia tenha aprendido as li\u00e7\u00f5es b\u00e1sicas de seguran\u00e7a, voc\u00ea pode orient\u00e1-la gentilmente no caminho de tomada de uma decis\u00e3o estrat\u00e9gica: treinamento regular de seguran\u00e7a da informa\u00e7\u00e3o para todos os funcion\u00e1rios da empresa. Existem requisitos de conhecimento diferentes para cada n\u00edvel de funcion\u00e1rios. Todos, incluindo os funcion\u00e1rios da linha de frente, precisam assimilar as regras de ciber-higiene mencionadas acima, bem como dicas sobre como responder a situa\u00e7\u00f5es suspeitas ou fora do padr\u00e3o. Os gerentes \u2014 especialmente os de TI \u2014 se beneficiariam de uma compreens\u00e3o mais profunda de como a seguran\u00e7a \u00e9 integrada ao desenvolvimento do produto e ao ciclo de vida de uso, quais pol\u00edticas de seguran\u00e7a adotar em seus departamentos e como tudo isso pode afetar o desempenho dos neg\u00f3cios. Por outro lado, os pr\u00f3prios funcion\u00e1rios de Infosec devem estudar os processos de neg\u00f3cios adotados na empresa para ter uma ideia melhor de como integrar sem problemas as prote\u00e7\u00f5es necess\u00e1rias.<\/p>\n

Integrar a ciberseguran\u00e7a na estrat\u00e9gia e nos processos da empresa<\/h2>\n

\u00c0 medida que a economia se digitaliza, o cen\u00e1rio dos cibercrimes se torna\u2026 mais complexo. Com isso, a regulamenta\u00e7\u00e3o se intensifica e o gerenciamento de riscos digitais est\u00e1 se tornando uma tarefa completa e complexa, em n\u00edvel de diretoria. Existem aspectos tecnol\u00f3gicos, humanos, financeiros, jur\u00eddicos e organizacionais nisso, ent\u00e3o os l\u00edderes de todas essas \u00e1reas precisam estar envolvidos na adapta\u00e7\u00e3o da estrat\u00e9gia e dos processos da empresa.<\/p>\n

Como podemos minimizar o risco de um fornecedor ou contratado ser hackeado, j\u00e1 que podemos nos tornar um alvo secund\u00e1rio em tal cen\u00e1rio? Quais leis em nosso setor regem o armazenamento e a transfer\u00eancia de dados confidenciais, como informa\u00e7\u00f5es pessoais dos clientes? Qual seria o impacto operacional de um ataque de ransomware que bloqueia e apaga todos os computadores e quanto tempo levaria para restaur\u00e1-los a partir de backups? O dano \u00e0 reputa\u00e7\u00e3o pode ser medido em dinheiro quando um ataque a n\u00f3s se torna conhecido por parceiros e pelo p\u00fablico? Que medidas de seguran\u00e7a adicionais tomaremos para proteger os funcion\u00e1rios que trabalham remotamente? Estas s\u00e3o as quest\u00f5es que os servi\u00e7os de seguran\u00e7a da informa\u00e7\u00e3o e os especialistas de outros departamentos devem abordar, apoiados em medidas organizacionais e t\u00e9cnicas.<\/p>\n

\u00c9 importante lembrar \u00e0 alta dire\u00e7\u00e3o que \u201ccomprar este [ou aquele] sistema de prote\u00e7\u00e3o\u201d n\u00e3o \u00e9 uma bala de prata para nenhum desses problemas, pois, segundo v\u00e1rias estimativas, entre 46%<\/a> e 77%<\/a> de todos os incidentes est\u00e3o relacionados ao fator humano, desde a n\u00e3o conformidade com regulamentos e funcion\u00e1rios mal-intencionados at\u00e9 a falta de transpar\u00eancia de TI por parte dos contratados.
\nApesar disso, as quest\u00f5es de seguran\u00e7a da informa\u00e7\u00e3o sempre v\u00e3o girar em torno do or\u00e7amento.<\/p>\n

Invista adequadamente<\/h2>\n

O dinheiro para a seguran\u00e7a da informa\u00e7\u00e3o est\u00e1 sempre em falta, enquanto os problemas a serem resolvidos nessa \u00e1rea parecem infinitos. \u00c9 importante priorizar de acordo com os requisitos do setor em quest\u00e3o, com as amea\u00e7as mais relevantes para sua organiza\u00e7\u00e3o e com potencial de causar mais danos. Isso \u00e9 poss\u00edvel em praticamente todas as \u00e1reas \u2014 desde o fechamento de vulnerabilidades at\u00e9 o treinamento de pessoal. Nenhum pode ser ignorado e cada um ter\u00e1 suas pr\u00f3prias prioridades e ordem de preced\u00eancia. Trabalhando dentro do or\u00e7amento alocado, eliminamos os principais riscos e passamos para os menos prov\u00e1veis. \u00c9 uma tarefa quase imposs\u00edvel classificar as probabilidades de risco por conta pr\u00f3pria, portanto, voc\u00ea precisar\u00e1 estudar [TI placeholder]relat\u00f3rios de cen\u00e1rios de amea\u00e7as[\/TI placeholder] para seu setor e analisar os vetores de ataque t\u00edpicos.<\/p>\n

As coisas ficam realmente interessantes, \u00e9 claro, quando o or\u00e7amento precisa ser aumentado. A abordagem de or\u00e7amenta\u00e7\u00e3o mais madura \u00e9 aquela baseada nos riscos e no respectivo custo da sua atualiza\u00e7\u00e3o e mitiga\u00e7\u00e3o, mas \u00e9 tamb\u00e9m a mais trabalhosa. Exemplos reais \u2014 de prefer\u00eancia da experi\u00eancia dos concorrentes \u2014 desempenham um importante papel de apoio nas discuss\u00f5es da diretoria. Contudo, eles n\u00e3o s\u00e3o f\u00e1ceis de serem obtidos, e por isso \u00e9 comum recorrer a v\u00e1rios benchmarks que d\u00e3o or\u00e7amentos m\u00e9dios para uma determinada \u00e1rea de neg\u00f3cio e pa\u00eds<\/a>.<\/p>\n

Considere todos os tipos de riscos<\/h2>\n

As discuss\u00f5es sobre seguran\u00e7a da informa\u00e7\u00e3o geralmente se concentram demais em hackers e solu\u00e7\u00f5es de software para derrot\u00e1-los. Mas as opera\u00e7\u00f5es di\u00e1rias de muitas organiza\u00e7\u00f5es enfrentam outros riscos que tamb\u00e9m dizem respeito \u00e0 Infosec.<\/p>\n

Sem d\u00favida, um dos mais prevalentes nos \u00faltimos anos tem sido o risco de viola\u00e7\u00e3o das leis de armazenamento e uso de dados pessoais: GPDR, CCPA, LGPD e similares. A pr\u00e1tica atual da aplica\u00e7\u00e3o da lei mostra que ignorar tais marcos legais n\u00e3o \u00e9 uma op\u00e7\u00e3o: mais cedo ou mais tarde o regulador impor\u00e1 uma multa e, em muitos casos \u2013 especialmente na Europa \u2013 estamos falando de somas substanciais. Uma perspectiva ainda mais alarmante para as empresas \u00e9 a imposi\u00e7\u00e3o de multas com base no volume de vazamentos ou tratamento inadequado de dados pessoais; portanto, uma auditoria abrangente dos sistemas e processos de informa\u00e7\u00e3o com vistas \u00e0 elimina\u00e7\u00e3o passo a passo das viola\u00e7\u00f5es seria muito oportuna.<\/p>\n

V\u00e1rias ind\u00fastrias t\u00eam seus pr\u00f3prios crit\u00e9rios ainda mais r\u00edgidos, em particular os setores financeiro, de telecomunica\u00e7\u00f5es e de sa\u00fade, bem como operadores de infraestrutura cr\u00edtica. Os gerentes dessas \u00e1reas devem monitor\u00e1-las regularmente visando melhorar o cumprimento dos requisitos regulamentares em seus departamentos.<\/p>\n

Responda corretamente<\/h2>\n

Infelizmente, apesar dos melhores esfor\u00e7os, os incidentes de ciberseguran\u00e7a s\u00e3o praticamente inevit\u00e1veis. Se a escala de um ataque for grande o suficiente para atrair a aten\u00e7\u00e3o da diretoria, isso quase certamente significa uma interrup\u00e7\u00e3o das opera\u00e7\u00f5es ou vazamento de dados importantes. N\u00e3o apenas a seguran\u00e7a da informa\u00e7\u00e3o, mas tamb\u00e9m as unidades de neg\u00f3cios devem estar prontas para responder, de prefer\u00eancia por meio de exerc\u00edcios. No m\u00ednimo, a alta administra\u00e7\u00e3o deve conhecer e seguir os procedimentos de resposta se quiser ter um resultado favor\u00e1vel. Existem tr\u00eas passos fundamentais para o CEO:<\/p>\n

    \n
  1. Notificar imediatamente as partes principais sobre um incidente; dependendo do contexto: departamentos financeiro e jur\u00eddico, seguradoras, reguladores do setor, reguladores de prote\u00e7\u00e3o de dados, aplica\u00e7\u00e3o da lei, clientes afetados. Em muitos casos, o prazo para tal notifica\u00e7\u00e3o \u00e9 estabelecido por lei, mas caso n\u00e3o seja, deve ser previsto em regimento interno. O bom senso determina que a notifica\u00e7\u00e3o seja imediata, mas informativa; ou seja, antes de notificar, devem ser coletadas informa\u00e7\u00f5es sobre a natureza do incidente, incluindo uma avalia\u00e7\u00e3o inicial da escala e as medidas adotadas para resposta imediata.<\/li>\n
  2. Investigue o incidente. \u00c9 importante tomar diversas medidas para poder avaliar corretamente a escala e as ramifica\u00e7\u00f5es do ataque. Al\u00e9m de medidas puramente t\u00e9cnicas, pesquisas com funcion\u00e1rios tamb\u00e9m s\u00e3o importantes, por exemplo. Durante a investiga\u00e7\u00e3o, \u00e9 vital n\u00e3o danificar as evid\u00eancias digitais do ataque ou outros artefatos. Em muitos casos, faz sentido trazer especialistas externos<\/a> para investigar e consertar o incidente.<\/li>\n
  3. Elabore um planejamento com cronograma de comunica\u00e7\u00f5es. Um erro t\u00edpico que as empresas cometem \u00e9 tentar ocultar ou minimizar um incidente. Mais cedo ou mais tarde, a verdadeira escala do problema surgir\u00e1, prolongando e ampliando os danos \u2013 de reputa\u00e7\u00e3o a financeiros. Portanto, a comunica\u00e7\u00e3o externa e interna deve ser regular e sistem\u00e1tica<\/a>, entregando informa\u00e7\u00f5es consistentes e de uso pr\u00e1tico para clientes e funcion\u00e1rios. Eles devem ter uma compreens\u00e3o clara de quais a\u00e7\u00f5es tomar agora e o que esperar no futuro. Seria uma boa ideia centralizar as comunica\u00e7\u00f5es; ou seja, nomear porta-vozes internos e externos e proibir qualquer outra pessoa de exercer essa fun\u00e7\u00e3o.<\/li>\n<\/ol>\n

    Comunicar assuntos de seguran\u00e7a da informa\u00e7\u00e3o para a ger\u00eancia s\u00eanior \u00e9 bastante demorado e nem sempre recompensador, ent\u00e3o \u00e9 improv\u00e1vel que essas cinco mensagens sejam transmitidas e levadas a s\u00e9rio em apenas uma ou duas reuni\u00f5es. A intera\u00e7\u00e3o entre o neg\u00f3cio e a Infosec \u00e9 um processo cont\u00ednuo que requer esfor\u00e7o m\u00fatuo para entender melhor um ao outro. Somente com uma abordagem sistem\u00e1tica, passo a passo, realizada de forma regular e envolvendo praticamente todos os executivos, sua empresa pode ganhar vantagem sobre os concorrentes na navega\u00e7\u00e3o do cibercen\u00e1rio atual.<\/p>\n","protected":false},"excerpt":{"rendered":"

    As medidas de seguran\u00e7a da informa\u00e7\u00e3o s\u00e3o muito mais eficazes quando apoiadas pela alta administra\u00e7\u00e3o. Como conquistar esse suporte?<\/p>\n","protected":false},"author":2722,"featured_media":20718,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[1185,1184,2053,221,83,776,1210],"class_list":{"0":"post-20717","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-business","10":"tag-hacks","11":"tag-incidentes","12":"tag-phishing","13":"tag-ransomware","14":"tag-riscos","15":"tag-treinamento"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/5-cybersecurity-lessons-ceo\/20717\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/5-cybersecurity-lessons-ceo\/25132\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/20627\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/27759\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/5-cybersecurity-lessons-ceo\/25465\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/25847\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/5-cybersecurity-lessons-ceo\/28364\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/5-cybersecurity-lessons-ceo\/34613\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/47030\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/5-cybersecurity-lessons-ceo\/20086\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/5-cybersecurity-lessons-ceo\/29720\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/5-cybersecurity-lessons-ceo\/33197\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/5-cybersecurity-lessons-ceo\/25825\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/5-cybersecurity-lessons-ceo\/31504\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/5-cybersecurity-lessons-ceo\/31218\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20717","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=20717"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20717\/revisions"}],"predecessor-version":[{"id":20720,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20717\/revisions\/20720"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/20718"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=20717"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=20717"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=20717"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}