COMO PROTEGER EMPRESAS E INSTITUIÇÕES CONTRA ATAQUES CIBERNÉTICOS

A equipe de especialistas em cibersegurança da multinacional tecnológica Stratesys, um hub digital entre Europa e América, destaca quais são os conceitos-chave que as organizações devem abordar para manter um bom nível de cibersegurança. 

Estamos vivendo um momento em que existe uma grande indústria de crime cibernético alimentada não só por interesses econômicos, mas também por objetivos políticos. Nos últimos meses, essa situação tem sido agravada pela guerra (também no âmbito cibernético) entre Rússia e Ucrânia, que está afetando, em maior ou menor grau, todos os países. 

Esse panorama desafiador levou a um aumento nos ataques cibernéticos a instituições públicas e infraestruturas críticas. Com essa tendência, pode-se concluir que esses ciberataques têm apresentado um crescimento significativo, especialmente como resultado de conflitos geopolíticos. 

Os cibercriminosos miram a infraestrutura crítica devido ao impacto que qualquer interrupção pode ter nos serviços públicos, não apenas economicamente, mas também na confiança e estabilidade política. No entanto, é importante observar que os cibercriminosos não discriminam empresas por tamanho ou setor; qualquer empresa pode ser vítima de um ciberataque. 

Nesse sentido, a multinacional tecnológica Stratesys lista quais são os conceitos-chave que as organizações devem abordar para manter um bom nível de cibersegurança. 

Para empresas que estão começando a trabalhar em cibersegurança, ou que precisam redefinir sua estratégia como parte de sua transformação digital, é recomendado definir um plano de direção para estabelecer as bases e identificar as áreas a serem trabalhadas nos próximos anos. Além disso, é sugerido o uso de estruturas reconhecidas, como NIST ou CIS, adaptadas para definir a estratégia abrangente das empresas nas seguintes áreas-chave da cibersegurança: 

  • Identificar ativos, ameaças e riscos. 
  • Protegê-los para prevenir incidentes na medida do possível. 
  • Detectar ameaças e incidentes de segurança precocemente. 
  • Estar preparado para responder e se recuperar de maneira eficaz em caso de ataque, minimizando o impacto no negócio. 

É fundamental ter uma equipe de hacking ético para realizar exercícios de Segurança Ofensiva, como auditorias técnicas de cibersegurança em aplicações ou na infraestrutura do cliente, onde, de forma controlada, simule o comportamento de grupos reais de cibercriminosos. O objetivo é identificar e corrigir possíveis vias de ataque a tempo, antes que os cibercriminosos tentem explorá-las. Esses exercícios podem ser realizados em ambientes de TI e OT (Tecnologia Operacional). 

Nesse sentido, é altamente recomendável realizar esse tipo de exercício periodicamente para testar as medidas de cibersegurança da organização e treinar equipes de defesa. 

Por outro lado, é importante contar com um Centro de Operações de Cibersegurança (CyberSOC), que inclui uma plataforma de detecção e monitoramento de ameaças (SIEM) e uma equipe de analistas de cibersegurança com experiência em resposta a incidentes. Essa equipe será responsável por monitorar constantemente eventos e alertas. 

Por último, mas não menos importante, um dos exercícios mais recorrentes nesse âmbito é a simulação de ataques internos de phishing. Isso nos permite treinar e testar os usuários por meio de cenários reais de phishing, reduzindo assim o risco de ataques de engenharia social. 

 “O mundo da cibersegurança é uma corrida entre dois lados: os grupos de cibercriminosos e os profissionais de cibersegurança”, explica Javier Castro Bravo, Diretor Associado – Líder Global do Centro de Excelência em Cibersegurança na Stratesys.É fundamental que as empresas aloquem parte de seu orçamento para a cibersegurança. Somente assim estarão preparadas para as ameaças atuais e futuras, uma vez que o roubo de identidade e o phishing, assim como os ataques de engenharia social e exploração de vulnerabilidades, usando sistemas autônomos e IA, serão cada vez mais frequentes e eficazes. Precisamos estar preparados.