Atualmente, vivemos em um mundo digital altamente distribuído e conectado, cuja adoção de novas tecnologias foi acelerada pela pandemia de covid-19. Nesse cenário digital, as pessoas não só vivem em qualquer cidade do mundo como também trabalham de qualquer lugar: escritórios, casas, hotéis, cafés e muito mais. Além disso, compras podem ser realizadas em lojas físicas, bem como em sites e aplicativos virtuais por computadores e smartphones.
Isso significa que as empresas não estão limitadas a um local físico, mas sim livres para operar onde quer que os usuários e os dados estejam. Esse fenômeno é conhecido como empresa digital, em que as tecnologias da informação são usadas para criar novos modelos de negócio, experiências para clientes e processos internos que suportam as operações por meio do movimento de transformação digital. Essa última resulta, entre outras coisas, em identidades digitais tanto para pessoas quanto para empresas, então não há mais diferença entre o físico e o virtual.
O mundo digital é tão real quanto o mundo físico — e muitas vezes domina as preferências da sociedade.
Os processos de transformação digital alavancados pela pandemia de covid-19 na maioria das organizações foram realizados de forma não planejada e sem incluir estratégias de cibersegurança na implementação, gerando uma extensão da superfície de ataque. Diante desse novo cenário, os cibercriminosos têm mais possibilidades de entradas que possivelmente não estão protegidas no acesso à organização.
Como resultado, nos últimos 2 anos, diversas empresas brasileiras foram vítimas de ameaças avançadas. De acordo com o relatório "The State of Ransomware", da Sophos, 55% das organizações no Brasil foram atacadas por ransomware durante 2021. Muitos desses ataques foram impulsionados pela implementação de tecnologias de transformação digital que não estavam devidamente protegidas durante a pandemia, como o acesso remoto a trabalhadores e parceiros, ou provenientes de erros de configuração na infraestrutura de nuvem pública.
Fonte: Shutterstock
Isso requer uma nova abordagem de cibersegurança, além do perímetro tradicional, uma cibersegurança digital que vive na casa dos usuários, na nuvem, nos aplicativos e nos próprios dados. A cibersegurança, como as empresas digitais, deve estar disponível “em todos os lugares”.
Segurança 360°
Primeiro, a defesa em profundidade deve ser habilitada por meio de diferentes camadas de controle ou soluções de cibersegurança, fornecendo redundância caso um controle falhe ou uma vulnerabilidade seja explorada. É importante implementar controles focados na proteção de novos ativos e tecnologias do mundo digital, como a segurança de canais transacionais de bancos e empresas ou a gestão da postura de segurança na nuvem (Cloud Security Posture Management — CSPM).
Também deve ser implementado um modelo de Confiança Zero (Zero Trust), no qual quatro princípios devem ser seguidos: 1) sempre identificar quem está acessando os recursos, os aplicativos e os dados da organização; 2) sempre controlar, configurando permissões de privilégios mínimos; 3) sempre analisar, inspecionando e coletando todas as atividades; 4) sempre assegurar, seguindo uma abordagem de risco que priorize os dados (datacenter) por meio da microssegmentação.
Além disso, a segurança cibernética em todos os lugares deve ser adaptável, ou seja, permitir que as organizações tenham capacidade de prevenção, detecção, resposta e predição. Tecnologias digitais, como ciência de dados e inteligência artificial, desempenham um papel importante na transferência desses recursos para as empresas por meio de soluções disruptivas, como detecção e resposta estendida (Extended detection and response — XDR) ou serviços de detecção e resposta gerenciados (Managed Detection and Response — MDR).
Finalmente, para que qualquer projeto de transformação digital seja bem-sucedido, a cibersegurança em todos os lugares deve estar incluída desde o planejamento estratégico, permitindo que as organizações criem melhores produtos e serviços que envolvam nativamente a cibersegurança, gerando novas vantagens competitivas em um mundo digital, além da qualidade e do preço por meio de reputação, responsabilidade social e ética.
***
Por André Carneiro, country manager da Sophos no Brasil, e Juan Alejandro Aguirre, gerente sênior de Engenharia de Vendas da Sophos América Latina.
Categorias
