A pandemia do novo coronavírus forçou muitas empresas a reconsiderar seus sistemas e políticas de privacidade cibernética e de dados. Mas como as empresas podem mitigar os riscos e gerenciar a conformidade com maior efetividade nesse novo ambiente operacional?
Para empresas de todos os setores da economia global, a cibersegurança se tornou um dos maiores fatores de risco associados à crise provocada pela Covid-19. Enquanto tentam continuar as operações em esquemas diferenciados – como o home office – e mantêm seus colaboradores protegidos, as empresas aumentam sua exposição a ataques cibernéticos.
Em uma Cyber Surgery especialmente convocada para seus clientes, os especialistas da Grant Thornton UK discutiram os tipos específicos de ameaças que estão surgindo, bem como as ações que as empresas devem tomar para reduzir os riscos e manter a conformidade regulatória durante esses tempos extremamente difíceis. As questões discutidas se aplicam mais amplamente ao redor do mundo.
A sessão “Riscos e expectativas regulatórias: resposta às circunstâncias em evolução” foi apresentada em colaboração com a advocacia multinacional Eversheds Sutherland.
Riscos cibernéticos emergentes
As políticas de bloqueio introduzidas nas economias de todo o mundo forçaram milhões de empresas a se concentrar rapidamente em formas de trabalho mais ágeis – com a adoção em larga escala da tecnologia de trabalho doméstico.
![Vijay Rathour round image.png]()
Vijay Rathour, sócio e líder do Grupo Forense Digital, da Grant Thornton UK, relata: "Vimos organizações realizando uma transformação, que pode levar seis semanas em circunstâncias normais, em apenas alguns dias – e estamos preocupados com a forma como as ameaças e os agentes de ameaças estão evoluindo para tirar proveito desse cenário de segurança cibernética em rápida mudança".
Os ambientes para ataques cibernéticos criminosos – as oportunidades de entrar em negócios, por exemplo, bem como comprometer trabalhadores individuais - está em constante evolução, uma situação que está criando desafios sem precedentes para as empresas, tanto em termos de segurança quanto de conformidade.
"Houve um aumento significativo de ataques cibernéticos em organizações, principalmente de serviços financeiros e profissionais – de fato, qualquer empresa que controla dados confidenciais ou valiosos -, mas o que estamos vendo também é que mesmo muitas organizações maiores, apesar de terem planos abrangentes de continuidade de negócios, nunca testaram esses planos efetivamente”, explica Rathour.
Ameaças internas
![James Arthur.png]()
Perigos externos não são os únicos riscos para as empresas. "As ameaças internas - sejam acidentais ou maliciosas - também são muito reais", aponta James Arthur, sócio e líder da Cyber Consulting da Grant Thornton UK. "Muitas pessoas que passaram a trabalhar em casa a curto prazo podem estar cometendo erros não intencionais, por exemplo."
Outro fato apontado pelo especialista está relacionado com ex-funcionários descontentes. "Ouvimos relatos de que isso é particularmente preocupante nos EUA. As empresas estão preocupadas com o fato de esses trabalhadores terem sido capazes de levar propriedade intelectual com eles – ou os empregadores podem não ter sido capazes de fechar seu acesso aos dados com rapidez suficiente.”
Outro problema que as organizações podem enfrentar é o surgimento da "TI sombria". Arthur explica: “É aqui que diferentes áreas da organização criam seus próprios serviços - por exemplo, onde uma equipe de desenvolvimento ocupa algum espaço em um Amazon Web Service, ou uma equipe de trabalho em conjunto decide começar a usar o Dropbox para trocar informações.”
O perigo, principalmente ao usar serviços baseados na nuvem, é pensar que a segurança é "o problema de outra pessoa". Na visão de Arthur “agora é a hora de as organizações entenderem quais sistemas e infraestrutura de nuvem suas pessoas estão usando e garantir que sejam claros sobre quem é responsável por protegê-los e monitorá-los – e garantir que as pessoas estejam aderindo aos processos e treinamentos oferecidos.”
Leia também → Data Analytics: o diferencial para decisões mais assertivas na crise
Preocupações com terceirização
O painel também respondeu a perguntas sobre os problemas de segurança que envolvem a terceirização de soluções de TI, bem como outras áreas de operações. Como Rathour explica: "Você invariavelmente deve implementar políticas de privacidade por design e segmentação de dados para ter uma visão e controle sobre quem tem acesso aos dados em ambientes de primeira e de terceiros". Mudar para ambientes de trabalho ágeis e domésticos pode expor lacunas nos controles de acesso apresentados aos funcionários – ou hackers.
Muitos problemas de terceirização garantem que os padrões básicos de segurança sejam atendidos pelos fornecedores de serviços de tecnologia. Arthur acrescenta: "Para grandes empresas com cadeias de suprimentos distribuídas, grande parte é sobre o uso de inteligência eficaz contra ameaças – entender os riscos que podem ser explorados e como eles podem ser escalados pela cadeia. No momento, mesmo que muitas empresas estejam utilizando VPNs para se conectar com segurança, ainda existem várias organizações usando VPNs de grandes fabricantes que possuem algumas vulnerabilidades facilmente exploráveis, que ainda não foram corrigidas".
Desafios regulatórios
Os crescentes riscos cibernéticos e as mudanças nas práticas de trabalho também apresentam novos desafios de conformidade. Ter trabalhadores em diversas localizações geográficas apresenta questões relacionadas ao GDPR, principalmente em relação à transferência de dados para fora do Espaço Econômico Europeu (EEA, da sigla em inglês).
Rathour diz que, embora algumas organizações tenham dito que estão passando por uma pausa de conformidade ao implementar novos sistemas, os reguladores não formalmente relaxaram suas expectativas ou requisitos. As empresas devem, portanto, garantir que quaisquer soluções temporárias implementadas no início do bloqueio sejam claramente documentadas e explicadas para o benefício dos reguladores.
Outro fator importante, tanto do ponto de vista operacional quanto do regulador, é demonstrar que todas as políticas de segurança foram testadas de maneira robusta.
"O que vimos recentemente é que os reguladores estão se interessando cada vez mais pelos detalhes das soluções cibernéticas e se são operacionalmente eficazes", diz Arthur. “Embora um ano atrás, os reguladores possam ter ficado satisfeitos com informações de alto nível sobre soluções, agora há muito mais ênfase exatamente sobre qual tecnologia está em vigor e se foi demonstrada ser operacionalmente eficaz – e essa ênfase será aumentada como resultado da atual crise.”
Vijay Rathour, sócio e líder do Grupo Forense Digital, da Grant Thornton UK, relata: "Vimos organizações realizando uma transformação, que pode levar seis semanas em circunstâncias normais, em apenas alguns dias – e estamos preocupados com a forma como as ameaças e os agentes de ameaças estão evoluindo para tirar proveito desse cenário de segurança cibernética em rápida mudança".
Perigos externos não são os únicos riscos para as empresas. "As ameaças internas - sejam acidentais ou maliciosas - também são muito reais", aponta James Arthur, sócio e líder da Cyber Consulting da Grant Thornton UK. "Muitas pessoas que passaram a trabalhar em casa a curto prazo podem estar cometendo erros não intencionais, por exemplo."
Como a Grant Thornton pode auxiliar na cibersegurança da sua empresa? 
