[TIMEBRA] Ciberataque resulta em prejuízo de R$ 923 milhões para a “Gigante do Varejo” nacional

O primeiro semestre do ano de 2022 já está quase chegando ao fim e parece que este trecho do conhecido provérbio chinês é cada vez mais iminente para as empresas e organizações: “Os sábios aprendem com os erros dos outros…”. Na última sexta-feira dia 13/05/2022, o CISO Advisor, portal de notícias sobre segurança cibernética, ciberdefesa e inteligência, divulgou que “as Lojas Americanas perderam R$ 923 milhões em vendas por causa do ataque cibernético sofrido na segunda-feira 21 de fevereiro de 2022”.

Ataque cibernético com hacker encapuzado irreconhecível usando realidade virtual, efeito de falha digital Foto gratuita

De acordo com a StealthLabs, as ameaças cibernéticas continuam a evoluir, causando trilhões de dólares em perdas e haverá um aumento de 76% nas violações de segurança cibernética até 2024, mesmo assim, diante de previsões alarmantes como esta e de ciberataques sofridos por grandes empresas internacionais e nacionais no ano de 2021 que assolaram empresas como: “Lojas Renner, CVC, Porto Seguro, Atento, Serasa Experian e plataformas como Facebook e LinkedIn que sofreram as consequências de terem seus clientes e usuários expostos ou seus sistemas inoperantes”, conforme publicação em dezembro de 2021 feita pela Forbes.

Já em 2022, ao nos depararmos com o prejuízo de milhões de reais recém-divulgado no relatório do 1º trimestre de 2022 pelas Lojas Americanas, é unânime a desconfortável sensação a respeito de quem será a próxima vítima? Uma coisa é certa, ninguém quem ser nem a próxima e nem a vítima, pois, sabemos que os impactos de um ciberataque ultrapassam o prejuízo financeiro, impactando também na reputação da imagem de uma marca que passa a ter sua credibilidade aferida e tantos outros impactos negativos que podem afetar toda a cadeia de stakeholders, a depender do segmento isso pode levar a consequências até que resultem em mortes.

Pode até parecer sensacionalismo relacionar mortes a ciberataques, porém, contra fatos não há argumentos, como o exemplo divulgado nas principais mídias do mundo que relatam fortes evidências de um ataque ransomware a um hospital ter sido a causa da morte de uma paciente na Alemanha e outras que são categóricas nesta afirmação, de acordo com o G1: “quando a paciente chegou ao hospital, ela teve de ser encaminhada a outra unidade de saúde na cidade de Wuppertal, a 32 quilômetros de distância, de acordo com a agência “Associated Press”. Com a falta de tratamento imediato, a paciente faleceu”.

Em 2017, o caso ransomware WannaCry também curvou o mundo, incluindo o Brasil “paralisando grandes órgãos, como o Ministério Público do Estado de São Paulo (MPSP), o TJSP, o INSS e muitos outros, afetando principalmente a Europa. Embora o temido WannaCry tenha castigado o mundo há 5 anos atrás, pois, “comprometeu rapidamente centenas de milhares de computadores e servidores desatualizados e sem patches, criptografando dados nos sistemas e desativando as operações nas empresas” , conforme a transformação digital avança, nos deparamos com ameaças cada vez mais audaciosas e sofisticadas e a dark web também parece ser um solo fértil e rentativo para os cibercriminosos.

Não seja a próxima vítima

No mundo contemporâneo as empresas que desejam contrariar as estatísticas e não terem sua reputação devastada, devem adotar uma postura proativa e investir em cibersegurança, incluindo campanhas de conscientização para que os colaboradores adquiram consciência de boas práticas e tenham uma postura segura frente ao vasto cenário de ameaças que visam sempre o elo mais frágil.

Quebrando a liberdade da cadeia e a ilustração vetorial de conceito de liberdade em estilo de cartaz, libertação, conceito de elo fraco. Vetor Premium

Para ter uma postura proativa de segurança, as organizações devem levar em conta todo o ecossistema que envolve as normas regulatórias, como por exemplo a LGPD (Lei Geral de Proteção de Dados) do Brasil, entre outros regulamentos. Além disso, diante da ampla gama de preocupações e com a evolução dos ciberataques, ainda há outras preocupações não mencionados anteriormente que também devem ser levadas em consideração e que são cada vez mais cotidianas como guerras cibernéticas e espionagem industrial. A medida em que as eleições no Brasil que se aproximam em um cenário extremamente polêmico, caso você se recorde das eleições americanas de 2016 envolvendo o Facebook e a Cambridge Analytica, então entenderá facilmente uma das diversas aplicações apresentadas pela Espionagem Industrial, já no mercado corporativo o ataque pode ocorrer por ordem de uma empresa concorrente.

Independente de sua posição, seja você um/uma CIO, CTO, CISO, gestor(a), coordenador(a), administrador(a) de TI ou de qualquer outra posição não mencionada, que tem consciência de todos os riscos que sua empresa está exposta, não deseja ser a próxima vítima de um ataque cibernético, não só pelos impactos negativos que envolvem todos os stakeholders envolvidos, mas, talvez você também não queira perder seu emprego e ainda por cima ter seu histórico profissional se esvaindo pelo ralo junto com o nome da sua empresa no caso de uma negligência de cibersegurança que ocasione um ciberataque, ocasionando vazamento de dados e tantas outras consequências indesejadas.

Então esta é a hora de você ajudar sua organização através um trabalho estruturado, proativo, gerenciando os riscos de vazamento de informação e compartilhando este plano com as partes interessadas para que sejam traçadas as prioridades que são mais críticas para o negócio.

Investimentos em Cibersegurança

Neste momento se você representa a persona que sempre é colocada no final da fila para conseguir aprovação de recursos financeiros que lhe permitam investir em cibersegurança. Talvez o problema esteja em sua postura e a seguir você entenderá o porquê desta afirmação, pois nem sempre a culpa está do outro lado que não lhe apoia. De acordo com a Pesquisa Global de Insights de Confiança Digital de 2022, “os investimentos continuam a fluir para a segurança cibernética. Sessenta e nove por cento das organizações preveem um aumento nos gastos cibernéticos em 2022 em comparação com 55% no ano passado“.

O fato de você fazer parte do lastimoso percentual que não vislumbra obter investimentos em cibersegurança ou que não conseguiu o investimento almejado para este ano de 2022 e ser uma presa fácil para os ciberatacantes, isso pode ser oriundo a maneira que você está comunicando sua necessidade às partes interessadas, de modo que o outro lado não enxergue valor. Ou seja, você precisa olhar para si e se perguntar se já possui uma visão estratégica e holística que leva em conta o alinhamento da TI aos negócios, se sua comunicação está falando a língua que as outras partes compreendam e que faça sentido.

É senso comum que justificar novos investimentos em cibersegurança é um desafio tremendo, pois, se o propósito de existir de uma empresa é obter lucros, obviamente você sempre será questionado sobre o porquê do investimento? E é nessas horas que se você não tiver uma estratégia bem definida e dados confiáveis que comprovem seus motivos como, por exemplo, os apresentados até aqui, que demonstrem os impactos negativos que a organização sofrerá se não fizer os investimentos cabíveis, sua tentativa tem enormes chances de fracassar.

Você sabe quanto Custa um Dado Vazado?

O relatório anual de Cost of a Data Breach Report 2021 da IBM “oferece insights de 537 violações reais para ajudar você a entender o risco cibernético em um mundo em constante mudança e traz ideias para te ajudar a entender mais sobre os riscos de um mundo em constante transformação. Além disso, você pode explorar as tendências gerais e aprofundar-se nos fatores que podem amplificar os custos ou ajudar a diminuir as perdas financeiras.” E consequentemente, ter informações consistentes que lhe ajudem a conseguir o apoio necessário para melhorias e investimentos em cibersegurança.

Fonte: https://www.ibm.com/br-pt/security/data-breach
Fonte: https://www.ibm.com/br-pt/security/data-breach
Fonte: https://www.ibm.com/br-pt/security/data-breach
Fonte: https://www.ibm.com/br-pt/security/data-breach

A recomendação aqui é que você acompanhe este relatório e outras estatísticas do setor, pois, dados confiáveis aliados a uma estratégia bem delineada certamente te ajudarão na justificativa para conseguir apoio em novos projetos. Após esta etapa, tendo conseguido os investimentos necessários e com as políticas de segurança implantadas que contemplam o devido engajamento dos níveis estratégico, tático e operacional, é fato que sua organização deixará de ser uma presa fácil para os cibercriminosos que costumam atacar os alvos mais vulneráveis.

Frameworks de Segurança

É extensa a lista de frameworks de segurança que podem te ajudar na construção rumo a uma postura de cibersegurança mais potente e proativa. Podemos utilizar o framework CIS Controls por exemplo, desenvolvido pelo Center for Internet Security®, é um conjunto prescritivo e priorizado de práticas recomendadas de segurança cibernética e ações defensivas que podem ajudar a evitar os ataques mais perigosos e disseminados, além de apoiar a conformidade em uma era de várias estruturas. Essas práticas recomendadas para a defesa virtual são formuladas por um grupo de especialistas em TI usando as informações coletadas de ataques reais e suas defesas eficazes. Também fornecem orientação específica e um caminho claro para que as organizações atinjam os objetivos e metas descritos por várias estruturas legais, regulamentares e políticas. Vale destacar que a escolha de um framework deve ser feita levando em consideração as especificidades do seu negócio.

Como a Implantação dos Controles CIS podem te ajudar?

  • Na elaboração de um escopo adequado para seu projeto de Segurança da Informação.
  • Servir como um guia que viabilize a adoção e implantação das melhores práticas de cibersegurança.
  • Viabilizará que você esteja em compliance também com outros regulamentos como por exemplo: ISO 27000, PCI DSS, FISMA, NIST Cybersecurity , NIST 800-53, NIST 800-171, NERC CIP e HIPAA.

A ManageEngine possui um conjunto abrangente de Soluções aderentes aos Controles CIS

Conheça na prática e na realidade de sua empresa o que as soluções ACSoftware|ManageEngine podem fazer por você. Contamos com um portfólio extenso para gerenciamento de TI. Há mais de 20 anos no mercado, a ManageEngine tem ajudado milhões de empresas espalhadas pelo mundo com um portifólio de alto nível que atende as principais normas regulatórias, incluindo os Controles CIS e muitos outros.
Com soluções para Segurança de TI, IAM – Gerenciamento de Acesso e Identidade, gerenciamento de endpoints, ITSM – Gerenciamento de Serviços de TI, ITOM – Gerenciamento de Operações de TI (monitoramento de redes, servidores, aplicações, sites banda e análise de tráfego, gerenciamento de endereços IP e portas de switch), análise avançada de dados e muito mais.

Conte sempre com o apoio da equipe ACSoftware, sua revenda e suporte ManageEngine no Brasil.

Participe agora mesmo do grupo TIMEBRA dedicado aos usuários ManageEngine no Brasil, que tem a intenção de criar uma comunidade para troca de experiências, esclarecer dúvidas, bem como ficar por dentro de dicas e novidades.

ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.

PodCafé da TI – Podcast, Tecnologia e Cafeína.

SpotifyApple PodcastsGoogle PodcastsDeezerYouTube

Deixe um comentário

Blog ACSoftware - ManageEngine