Panorama Atual do Seguro Cibernético no Brasil – o Relevante Papel do CISO

 

Paulo Pagliusi, Ph.D., CISM, C|CISO

Comandante Cibernetico

1. Introdução

A tecnologia alterou a maneira como os negócios são feitos e, com ataques virtuais cada vez mais sofisticados, os riscos cibernéticos são uma realidade nas companhias. Uma invasão hacker, vírus ou malware, acesso não autorizado à rede ou vazamento de dados de terceiros pode levar as empresas a acumular grandes prejuízos.

À medida que a frequência e a gravidade dos ataques de ransomware, phishing e negação de serviço aumentaram, a demanda por seguro cibernético também aumentou. Cerca de US$ 6,5 bilhões em prêmios emitidos diretamente foram registrados em 2021, um aumento de 61% em relação ao ano anterior, de acordo com um memorando de outubro de 2022 da Associação Nacional de Comissários de Seguros, com sede nos EUA.

O Brasil tem enfrentado um aumento significativo nos ataques cibernéticos e violações de dados, impulsionando a demanda por soluções de seguro cibernético, exigindo do CISO um papel cada vez mais relevante nesta decisão. Este artigo oferece uma visão abrangente do atual cenário do seguro cibernético no país, destacando as tendências, desafios e oportunidades emergentes neste mercado em constante evolução.

2. Tendências em Segurança Cibernética

Nos últimos anos, o Brasil tem sido alvo de uma escalada sem precedentes nos ataques cibernéticos, enfrentando um aumento significativo no número e na complexidade destes ataques. O Brasil é o segundo país mais impactado por crimes cibernéticos na América Latina. As informações constam em uma pesquisa realizada pela empresa de segurança Fortinet. Segundo os dados, foram cerca de 103,1 bilhões de tentativas de ataques apenas em 2022, superado apenas pelo México, que registrou cerca de 187 bilhões no período.

Conforme dados de pesquisa realizada pela SAS Institute, empresa de business intelligence, a maioria dos consumidores brasileiros (80%) disse ter sofrido algum tipo de fraude digital ao menos uma vez, e os dados pessoais e financeiros dos usuários valem ouro para os cibercriminosos.

De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), houve um aumento de 85% nos incidentes de segurança relatados em 2023 em comparação com o ano anterior. Isso inclui uma variedade de ataques, como phishing, ransomware, ataques de negação de serviço (DDoS) e violações de dados em larga escala.

Por exemplo, em 2021, o vazamento de dados da empresa de varejo brasileira Magalu expôs informações confidenciais de mais de 160 milhões de clientes. Tais dados refletem a crescente sofisticação e diversidade desses ataques, representando uma ameaça significativa à segurança das informações no país.

3. Desafios e Impacto Financeiro

Os ataques cibernéticos não apenas comprometem a segurança dos dados, mas também têm um impacto financeiro substancial para as empresas. De acordo com o Relatório de Custos de Violação de Dados da IBM, o custo médio de uma violação de dados no Brasil aumentou para US$ 1,35 milhão em 2023. Além disso, as empresas enfrentam multas substanciais devido a violações da Lei Geral de Proteção de Dados (LGPD), que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Quando até mesmo os planos de segurança cibernética mais bem estabelecidos falham, o seguro cibernético pode ajudar a mitigar a exposição de uma organização ao risco financeiro e operacional

4. Regulamentação e LGPD

A entrada em vigor da LGPD em 2020 impôs requisitos rigorosos às empresas brasileiras em relação à segurança cibernética e proteção de dados pessoais. Por exemplo, a LGPD exige que as organizações implementem medidas de segurança adequadas para proteger dados pessoais, como o uso de criptografia e o estabelecimento de políticas de acesso. O não cumprimento desses requisitos pode resultar em multas severas, já descritas na seção anterior, sobre impacto financeiro. Em adição a isto, a alta probabilidade de um ataque cibernético causar sérios danos à reputação de uma empresa destaca a importância de se investir em um seguro cibernético – uma estratégia inteligente para proteger seu patrimônio e minimizar riscos, de certa forma, terceirizando-os.

5. Oportunidades no Mercado de Seguros

Apesar dos desafios, o mercado de seguro cibernético no Brasil oferece oportunidades significativas para o setor. O Seguro Cibernético é um protecional adicional às empresas, uma apólice que visa amparar perdas financeiras decorrentes de ataques virtuais maliciosos, ou mesmo de incidentes decorrentes de erros ou negligências causados internamente na companhia, que resultem em vazamento de dados e outros danos ligados ao sigilo da informação. Com o aumento da conscientização sobre os riscos cibernéticos e as exigências regulatórias, as empresas estão buscando cada vez mais cobertura de seguro cibernético para proteger seus ativos digitais.

Por exemplo, a AIG foi a pioneira, sendo a primeira seguradora a oferecer o seguro de responsabilidade cibernética no Brasil, o “CyberEdge”, em 2012. Tal protagonismo levou a seguradora a ocupar a posição de líder de mercado, oferecendo diversas assistências agregadas, que vão além das coberturas por perdas financeiras tradicionais, dando aos clientes recursos para prevenção de riscos e gerenciamento de crises na rede. Já a Porto Seguro lançou recentemente o “Cyber Security Insurance”, um produto que oferece cobertura para empresas contra uma ampla gama de riscos cibernéticos, incluindo violações de dados e interrupções de serviços. A Zurich também lançou o seguro “Zurich Cyber Solutions”, para as companhias que se preocupam com a privacidade e segurança dos seus dados.

7. Papel do CISO na Apólice de Seguro Cibernético

Nos últimos anos, tanto no Brasil quanto no exterior, as seguradoras têm aumentado seus critérios para apólices de seguro cibernético, exigindo que as organizações demonstrem controles de segurança robustos, como autenticação multifator e planos de resposta a incidentes. Essa elevação de padrões tem gerado maior envolvimento dos líderes de segurança empresarial no processo de aquisição de seguros, demandando ajustes nas estratégias para atender às novas exigências das seguradoras. Como resultado, o seguro cibernético pode não estar prontamente disponível para todos, com os custos das apólices aumentando e as seguradoras solicitando mais evidências de estratégias eficazes de segurança cibernética antes de fornecer cobertura, o que tem levado muitas empresas a se adaptarem para atender a esses termos.

Essa mudança no mercado tem ampliado o papel dos CISOs nas discussões e aquisições de apólices de seguro cibernético, exigindo uma abordagem mais ampla no nível executivo, com participação do CEO, gestão de riscos e CISO. Além disso, as seguradoras impõem requisitos rigorosos de documentação e procedimentos para cobrir perdas, exigindo que as organizações demonstrem a manutenção contínua dos níveis de segurança descritos ao receber suas apólices. Portanto, as equipes de segurança devem compreender e incorporar esses requisitos em suas práticas para garantir cobertura adequada em caso de incidentes.

8. Conclusão

Em resumo, o panorama atual do seguro cibernético no Brasil é marcado por desafios significativos, mas também por oportunidades de crescimento e inovação. Com a crescente ameaça de ataques cibernéticos e as exigências regulatórias cada vez mais rigorosas, o seguro cibernético tornou-se uma parte essencial da estratégia de gestão de riscos para as empresas brasileiras. Ao compreender e responder adequadamente a esses desafios, e ao levar em conta o relevante papel do CISO no atendimento dos critérios para apólice de seguro cibernético, as empresas do setor de seguros podem se posicionar para capitalizar as oportunidades emergentes e oferecer soluções eficazes, que atendam às necessidades deste mercado em evolução.

Referências Bibliográficas

·       AIG (2024). CyberEdge - Responsabilidade Cibernética. Recuperado de https://www.aig.com.br/home/seguros/cibernetico

·       CERT.br. (2023). Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Recuperado de https://www.cert.br

·       Correio Braziliense (2024). Crimes cibernéticos avançam no Brasil e aceleram com a tecnologia. Recuperado de https://www.correiobraziliense.com.br/economia/2024/03/6824212-crimes-ciberneticos-avancam-no-brasil-e-aceleram-com-a-tecnologia.html

·       CSO Online (2022). What you should know when considering cyber insurance in 2023. Recuperado de https://www.csoonline.com/article/574157/what-you-should-know-when-considering-cyber-insurance-in-2023.html

·       IBM Security. (2023). IBM Security. Recuperado de https://www.ibm.com/security

·       Lei Geral de Proteção de Dados (LGPD). Lei nº 13.709, de 14 de agosto de 2018. Recuperado de http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

·       Olhar Digital (2024). Brasil é o segundo maior alvo de crimes cibernéticos na América Latina. Recuperado de https://olhardigital.com.br/2024/02/02/seguranca/brasil-e-o-segundo-maior-alvo-de-crimes-ciberneticos-na-america-latina/

·       Porto Seguro. (2023). Seguro Empresarial – Cyber. Recuperado de https://www.portoseguro.com.br/seguro-empresarial/cyber

·       Zurich (2024). Seguro para Riscos Cibernéticos. Recuperado de https://www.zurich.com.br/pt-br/seguros-empresariais/protecao-digital

O Impacto da Pressão sobre os CISOs na Cibersegurança Corporativa

Paulo Pagliusi, Ph.D, CISM, C|CISO

#ComandanteCibernetico 

Introdução 

Olá, meus Tripulantes Cibernéticos. A importância crescente da cibersegurança nas organizações tem gerado uma pressão significativa sobre os Chief Information Security Officers (CISOs), afetando suas estratégias e desempenho na proteção contra ameaças cibernéticas. O reconhecimento da gravidade do risco cibernético levou a uma maior exigência sobre os CISOs, sem o devido reconhecimento e recompensa, resultando em aumento do estresse, esgotamento e insatisfação. Este artigo analisa os desafios enfrentados pelos CISOs devido à crescente pressão, as causas dessa pressão e suas consequências para a segurança corporativa.

Desafio Atual dos CISOs em Números 

Uma pesquisa recente realizada pela empresa de segurança cibernética Cynet revela que 94% dos CISOs relataram estar estressados no trabalho, com 65% admitindo que problemas de estresse relacionados ao trabalho estão comprometendo sua capacidade de proteger a organização. Além disso, 100% dos CISOs entrevistados disseram que precisavam de recursos adicionais para lidar adequadamente com os atuais desafios de segurança de TI.

 A escassez de recursos estaria afetando não apenas os CISOs, mas também suas equipes. De acordo com o relatório, 74% dos líderes de cibersegurança disseram que estão perdendo membros da equipe por causa de problemas de estresse relacionados ao trabalho, com 47% deles tendo mais de um membro da equipe que deixou a função nos últimos 12 meses.

Os altos níveis de estresse estão afetando também o recrutamento de profissionais de cibersegurança, com 83% dos CISOs admitindo que tiveram que rever os critérios de contratação para poder preencher as lacunas deixadas por funcionários que pediram demissão. Mais de um terço dos CISOs entrevistados disseram que estão procurando ativamente ou considerando uma nova função.

79% desses líderes de cibersegurança afirmam ter recebido reclamações de membros do conselho, colegas ou funcionários de que as tarefas de segurança não estão sendo tratadas de maneira eficaz. 

93% dos CISOs acreditam que estão gastando muito tempo em tarefas táticas, em vez de realizar trabalhos estratégicos de alto valor e responsabilidades de gerenciamento. Entre os CISOs que acreditam estar excessivamente envolvidos em tarefas táticas, mais de um quarto relata passar o dia a dia de trabalho quase exclusivamente em tarefas táticas/operacionais.

84% dos CISOs dizem que tiveram que cancelar férias devido a um assunto urgente de trabalho e 64% relatam que perderam um evento privado por causa do cansaço decorrente do excesso de trabalho. Mais de 90% trabalham consistentemente mais de 40 horas por semana, sem pausa.

Pressão Crescente sobre os CISOs e sua Influência na Segurança Corporativa

A cibersegurança tornou-se uma prioridade estratégica para as organizações, refletida na relevância crescente do papel do CISO na tomada de decisões. No entanto, esse reconhecimento trouxe consigo uma pressão adicional sobre os CISOs, refletida em altos níveis de estresse, insatisfação e intenção de mudança de emprego. 

Fatores como o aumento das ameaças cibernéticas, a escassez de habilidades no setor e a crescente demanda de gerências contribuem para a sobrecarga dos CISOs, comprometendo sua eficácia na proteção das organizações contra ataques.

Causas da Pressão sobre os CISOs e suas Implicações

- Aumento das ameaças cibernéticas: O cenário de ameaças cibernéticas em constante evolução coloca as organizações em alerta constante, aumentando a carga de trabalho dos CISOs e a necessidade de resposta rápida a incidentes.

- Escassez de habilidades: A falta de profissionais qualificados em cibersegurança agrava a sobrecarga dos CISOs, deixando equipes com falta de pessoal para lidar com as demandas crescentes.

- Cargas de trabalho excessivas: As crescentes demandas de gerências e diretorias sobrecarregam os CISOs, levando-os a trabalhar longas horas e sacrificar feriados para cumprir suas responsabilidades.

- Falta de recursos e de um orçamento adequado: A falta de investimento adequado em recursos e no orçamento destinado à gestão de riscos da TI compromete a capacidade dos CISOs de implementar estratégias eficazes de cibersegurança.

Consequências da Pressão sobre os CISOs para a Segurança Corporativa

O estresse e esgotamento dos CISOs têm consequências diretas na segurança corporativa, incluindo tomada de decisão deficiente, comprometimento da capacidade de desempenho no trabalho e aumento da probabilidade de incidentes de segurança. 

Além disso, o aumento do escrutínio legal, regulatório e interno sobre os CISOs coloca-os sob pressão adicional, dificultando ainda mais sua capacidade de gerenciar eficazmente os riscos cibernéticos.

Considerações Finais e Recomendações

Diante desses desafios, é crucial que os conselhos de administração reconheçam a importância de apoiar os CISOs, avaliando sua carga de trabalho, fornecendo recursos adequados e remunerando-os de acordo com o alto risco e responsabilidade de sua função. Além disso, os CISOs devem priorizar a transparência, a comunicação eficaz e buscar apoio mútuo para enfrentar os desafios da cibersegurança corporativa. O investimento contínuo em capacitação e desenvolvimento profissional também é fundamental para garantir que os CISOs estejam preparados para enfrentar os desafios em constante evolução do cenário de ameaças cibernéticas.

Referências:

- “Gartner CFO Survey Reveals 74% Intend to Shift Some Employees to Remote Work Permanently.” Gartner Press Release.

- “Cybersecurity Jobs Report: 3.5 Million Openings in 2021.” Cybercrime Magazine.

- “A crescente pressão sobre os CISOs está afetando a cibersegurança corporativa”. WeLiveSecurity. Acesso em 05/04/1024. 

- “CISOs dizem que estresse tem afetado a saúde física e mental”. CiSO Advisor. Acesso em 06/04/2024. 

- “Threat Landscape 2020 – IoT.” European Union Agency for Cybersecurity.

- “2020 Internet Crime Report.” Federal Bureau of Investigation.

Tendências em Comportamentos de Risco para a Cibersegurança até 2030

Paulo Pagliusi, Ph.D., CISM, C|CISO

#ComandanteCibernetico

Resumo

A transição para a era digital traz consigo um aumento proporcional nos riscos de cibersegurança para empresas no Brasil e no mundo. A convergência de tecnologias emergentes, como a Inteligência Artificial (IA) e a Internet das Coisas (IoT), com a crescente sofisticação dos cibercriminosos, destaca a necessidade urgente de endereçar comportamentos de risco dentro das organizações. Este artigo explora as tendências emergentes de risco para a cibersegurança empresarial, oferecendo uma visão sobre o panorama até 2030, com foco no contexto brasileiro e suas implicações globais.

Introdução

O avanço para uma sociedade cada vez mais digitalizada implica um crescimento paralelo nos riscos de cibersegurança, desafiando empresas no Brasil e em todo o mundo. A integração de tecnologias emergentes como Inteligência Artificial (IA) e Internet das Coisas (IoT), alinhada à sofisticação crescente de cibercriminosos, ressalta a necessidade urgente de endereçar comportamentos de risco dentro das organizações.

A escalada rápida na complexidade e volume de ameaças cibernéticas exige que empresas em todo o mundo, especialmente no Brasil, recalibrem suas estratégias de cibersegurança. Este cenário em evolução convoca uma análise profunda das tendências em comportamentos de risco, visando a elaboração de mecanismos defensivos eficazes para proteger ativos críticos.

À medida que nos aproximamos de 2030, o cenário de ameaças cibernéticas evolui com rapidez, impulsionado por avanços tecnológicos e transformações digitais. Empresas em todo o mundo, incluindo o Brasil, enfrentam o desafio de adaptar suas estratégias de cibersegurança para proteger seus ativos digitais contra ataques cada vez mais sofisticados. Este artigo analisa as tendências emergentes de risco para a cibersegurança empresarial, projetando um panorama até 2030, com especial atenção ao contexto brasileiro e suas interconexões globais.

Tendências emergentes em Comportamentos de Risco

Seguem algumas tendências de comportamento e situações de risco cibernético emergentes até 2030. 

1. Expansão do Ambiente de Trabalho Remoto

O trabalho remoto, intensificado pela pandemia de COVID-19, tornou-se uma nova norma para muitas empresas. Segundo o Gartner, 74% das empresas planejaram mudar permanentemente alguns funcionários para trabalho remoto após a pandemia (Gartner, 2020). Essa transição acarretou riscos de segurança adicionais, como o uso de redes domésticas inseguras e a dificuldade de gerenciar endpoints de forma eficaz.

Desta forma, a adoção do trabalho remoto representa não apenas uma mudança cultural, mas também um vetor significativo de novos riscos cibernéticos. A Microsoft relatou um aumento de 300% em ataques cibernéticos durante a pandemia, ilustrando a urgência de fortalecer a segurança em ambientes de trabalho remoto (Microsoft, 2021).

2. Escassez de Profissionais Qualificados

AA carência de talentos em cibersegurança emerge como um gargalo crítico, ameaçando a capacidade das empresas de enfrentar os riscos cibernéticos de forma eficiente. A falta de profissionais qualificados em cibersegurança é um problema crucial, com um déficit global estimado em 3,5 milhões de vagas não preenchidas até 2021 (Cybersecurity Ventures, 2020).

No Brasil, essa escassez é particularmente preocupante, dada a sua rápida digitalização e o volume crescente de ataques cibernéticos. Pois ela potencializa o risco, exigindo estratégias nacionais para rápida formação e capacitação em segurança digital.

3. Crescimento da IoT

A proliferação exponencial de dispositivos IoT amplia a superfície de ataque das empresas, demandando um reforço nas práticas de segurança cibernética. 

Estima-se que haverá 75,44 bilhões de dispositivos IoT conectados mundialmente até 2025 (Statista, 2020), aumentando exponencialmente os pontos de vulnerabilidade que podem ser explorados por cibercriminosos.

4. Vulnerabilidades em Cadeias de Suprimentos

Ataques direcionados às cadeias de suprimentos tornaram-se uma estratégia comum entre os atacantes, buscando explorar vulnerabilidades em terceiros para comprometer organizações maiores. Esses ataques destacam a importância de uma abordagem holística para a cibersegurança, que inclua avaliações rigorosas de parceiros e fornecedores.

Incidentes como o ataque ao software SolarWinds, que afetou milhares de organizações globais, incluindo agências governamentais dos EUA, mostram a criticidade das cadeias de suprimentos digitais como alvos de ciberataques (Reuters, 2021).

A necessidade de uma gestão de risco compartilhada e de avaliações de segurança mais rigorosas torna-se premente, conforme observado por organizações de segurança como a ENISA (2020).

5. Avanço das Ameaças Cibernéticas com IA e automação

As ameaças cibernéticas estão se tornando mais sofisticadas, com o uso crescente de IA e técnicas de automação por parte dos atacantes. Ransomware, phishing e ataques de negação de serviço (DDoS) estão entre as ameaças mais prevalentes e estão evoluindo para contornar medidas de segurança tradicionais.

Vale citar que os ataques de ransomware aumentaram 150% em 2020 e o valor médio do resgate (ransom) subiu mais de 300% (Palo Alto Networks, 2021). Isso enfatiza a necessidade de abordagens de segurança mais robustas e adaptativas.

Conclusão

À medida que o cenário de cibersegurança continua a evoluir, torna-se imperativo que as empresas, especialmente no Brasil, adotem uma postura proativa na gestão de riscos cibernéticos. Isso inclui investimentos contínuos em tecnologias de segurança avançadas, incluindo IA e automação, programas de treinamento para funcionários e uma cultura organizacional que priorize a segurança digital. Além disso, a colaboração entre organizações, academia e governos será crucial para fortalecer a resiliência cibernética em escala global.

Para o Brasil e o cenário global, a adoção de abordagens proativas na gestão de riscos cibernéticos e o desenvolvimento de parcerias estratégicas serão vitais para navegar com segurança no complexo ambiente digital que se desenha até 2030 e além, exigindo uma vigilância constante e uma contínua adaptação estratégica às novas realidades digitais. 

Este cenário futuro demanda uma postura proativa na gestão de riscos cibernéticos, com ênfase em educação continuada, investimento em tecnologias avançadas e promoção de uma cultura organizacional de segurança. Para empresas no Brasil e ao redor do mundo, a colaboração intersetorial e com governos será crucial para reforçar a resiliência digital.

Referências

• Business Insider. (2020). "The Internet of Things 2020: Here's What Over 400 IoT Decision-Makers Say About the Future of Enterprise Connectivity and How IoT Companies Can Use It to Grow Revenue."
• Gartner. (2020). "Gartner CFO Survey Reveals 74% Intend to Shift Some Employees to Remote Work Permanently." Gartner Press Release.
• Cybersecurity Ventures. (2020). "Cybersecurity Jobs Report: 3.5 Million Openings in 2021." Cybercrime Magazine.
• Statista. (2020). "Internet of Things (IoT) connected devices installed base worldwide from 2015 to 2025." Statista.
• ENISA. (2020). "Threat Landscape 2020 – IoT." European Union Agency for Cybersecurity.
• FBI. (2021). "2020 Internet Crime Report." Federal Bureau of Investigation.
• Microsoft. (2021). "The New Future of Work Report." Microsoft Security.
• NIST (National Institute of Standards and Technology). (2021). "Framework for Improving Critical Infrastructure Cybersecurity." NIST. Um guia abrangente para gerenciamento de riscos cibernéticos e segurança de infraestrutura crítica.
• WEF (World Economic Forum). (2020). "The Global Risks Report 2020." Relatório que destaca a cibersegurança como um risco global crítico e discute implicações para empresas e governos.
• ISO/IEC. (2021). "ISO/IEC 27001: Information Security Management." Norma internacional que especifica as melhores práticas para um sistema de gestão de segurança da informação (SGSI).

Comitê para aperfeiçoar segurança cibernética fará primeira reunião dia 20

 Colegiado vai criar grupos de trabalho para atualizar as ações estratégicas, elaborar proposta de criação de órgão de governança e definir os parâmetros de atuação internacional do Brasil (Fonte: CNN Brasil)

O Comitê Nacional de Cibersegurança, criado em dezembro para apresentar medidas para aperfeiçoar a segurança cibernética do Brasil e desenvolver educação em segurança cibernética, fará sua primeira reunião na próxima semana. O colegiado, formado por representantes do governo, da sociedade civil, de instituições científicas e entidades do setor empresarial, foi instituído pelo Presidente da República e pelo ministro do Gabinete de Segurança Institucional (GSI).

A reunião acontecerá na próxima quarta-feira (20 de março de 2024) e será presidida pelo GSI. No encontro, os integrantes vão definir a composição final do grupo, marcar as datas das próximas reuniões e estabelecer o regimento interno e as normas que vão pautar seu funcionamento.

Também serão criados grupos de trabalho para atualizar a estratégia nacional de cibersegurança, para elaborar uma proposta de criação de órgão de governança da atividade e para definir os parâmetros de atuação internacional do Brasil em segurança cibernética.

Competências do Comitê Nacional de Cibersegurança:

• propor atualizações para a Política Nacional de Cibersegurança, a Estratégia Nacional de Cibersegurança e o Plano Nacional de Cibersegurança;
• avaliar e propor medidas para incremento da segurança cibernética no País;
• formular propostas para o aperfeiçoamento da prevenção, da detecção, da análise e da resposta a incidentes cibernéticos;
• propor medidas para o desenvolvimento da educação em segurança cibernética;
• promover a interlocução com os entes federativos e a sociedade em matéria de segurança cibernética;
• propor estratégias de colaboração para o desenvolvimento da cooperação técnica internacional em segurança cibernética; e
• manifestar-se, por solicitação do Presidente da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, sobre assuntos relacionados à segurança cibernética.

O grupo é composto por dois representantes do GSI, da Casa Civil, da Controladoria Geral da União e dos ministérios da Ciência, Tecnologia e Inovação, das Comunicações, da Defesa, do Desenvolvimento, Indústria, Comércio e Serviços, da Educação, da Fazenda, da Gestão e da Inovação em Serviços Públicos, da Justiça e Segurança Pública, de Minas e Energia e das Relações Exteriores.

Integram ainda o comitê dois representantes do Banco Central, da Agência Nacional de Telecomunicações, do Comitê Gestor da Internet no Brasil e de entidades da sociedade civil, de instituições científicas, tecnológicas e de inovação e do setor empresarial relacionado à área de segurança cibernética.

#ComandanteCibernetico

#cibersegurança #CNCiber

O Papel Transformador da IA na Segurança Digital

Paulo Pagliusi, Ph.D, CISM, C|CISO

#ComandanteCibernetico 

Olá, meus Tripulantes Cibernéticos. A perspectiva dos brasileiros sobre a Inteligência Artificial (IA) é majoritariamente otimista, embora as empresas no país ainda hesitem em adotá-la devido a preocupações com segurança.

Questões sobre como iniciar diálogos a respeito da IA, sua segurança e os riscos associados são comuns, especialmente porque a IA tem o potencial de aumentar a eficiência e produtividade dos desenvolvedores. Entretanto, existe uma preocupação entre os líderes empresariais sobre os possíveis problemas de segurança e gerenciamento de riscos que podem surgir.

Apesar dessas preocupações, é fundamental reconhecer que as áreas de cibersegurança e desenvolvimento de software já estão acostumadas a integrar tecnologias inovadoras para reforçar a segurança do ecossistema de software.

Um estudo da KPMG sobre a confiança na IA no Brasil mostrou que 84% dos participantes consideram a tecnologia confiável, um índice superior à média global de 61%. Adicionalmente, 93% dos brasileiros têm expectativas positivas quanto aos benefícios da IA, a maioria vendo-a como uma tecnologia confiável e que cumpre o que promete.

Esse otimismo é um reflexo do crescimento da comunidade de desenvolvedores na América do Sul e do interesse crescente pela IA. O relatório State of the Octoverse de 2023, divulgado pelo GitHub, coloca os desenvolvedores brasileiros em sexto lugar mundial em termos de contribuições para projetos de IA generativa, evidenciando a crescente demanda por essa tecnologia.

Revolução da Segurança com IA

A IA está tornando a segurança proativa, ou "shift left", uma prática viável, ao possibilitar a identificação e prevenção de vulnerabilidades no código antes de se tornarem um problema. Ela oferece um contexto para falhas potenciais e sugestões de código seguro desde o início, embora seja crucial ainda realizar testes no código gerado pela IA. Essa capacidade transforma a forma como o código é desenvolvido, realizando a promessa de uma segurança incorporada desde o início do processo de desenvolvimento.

Este avanço é significativo. Tradicionalmente, o conceito de "shift left" envolvia a incorporação de feedback de segurança nas fases iniciais do desenvolvimento de software. Com a IA, a segurança é efetivamente integrada ao processo, não apenas adicionada posteriormente. Esta abordagem representa uma era nova e empolgante, onde a tecnologia generativa desempenha um papel central na defesa cibernética.

Adoção da IA nas Empresas

Embora muitas equipes já estejam experimentando os benefícios da IA em termos de produtividade, ainda existem dúvidas sobre como integrar essas ferramentas de forma segura. Aqui estão três práticas recomendadas para empresas que desejam adotar IA enquanto protegem seus ativos críticos:

1. Abordagem Normalizada para Ferramentas de IA: Assim como com outras tecnologias, é importante avaliar ferramentas de IA usando frameworks de segurança e risco já estabelecidos, adaptando-os conforme necessário. Solicitar informações detalhadas sobre a segurança e maturidade da ferramenta, como diagramas de fluxo de dados e relatórios de testes, é crucial.

2. Gestão de Dados: É essencial compreender como os dados são gerenciados pela ferramenta de IA, incluindo armazenamento, compartilhamento e retenção. Importante também é verificar se o fornecedor utiliza dados do cliente para treinar seus modelos e quais opções existem para controlar o uso desses dados.

3. Propriedade Intelectual e Auditorias: As questões de propriedade intelectual são complexas no contexto da IA, e o ambiente legal está em constante evolução. Avaliar as cláusulas de propriedade intelectual e escolher ferramentas que passaram por auditorias rigorosas são etapas importantes para garantir a segurança.

A IA não eliminará a necessidade de equipes de segurança, mas irá aprimorar significativamente suas funções, permitindo o desenvolvimento de código mais seguro de forma proativa. Adotando as práticas recomendadas mencionadas, as organizações podem estabelecer diretrizes e normas de engajamento que conduzirão a resultados de segurança superiores, de forma mais ágil. Esta abordagem não só acelera o processo de desenvolvimento de software, mas também inaugura uma nova década na segurança cibernética, com a IA desempenhando um papel integrado ao longo de todo o ciclo de desenvolvimento.

IA para Software Seguro

Embora a adoção da IA apresente desafios, principalmente relacionados à segurança e à gestão de riscos, as vantagens potenciais são imensas. A tecnologia oferece uma oportunidade para as empresas não apenas melhorarem a eficiência e a produtividade de suas equipes de desenvolvimento, mas também para reforçarem significativamente suas defesas contra ameaças cibernéticas. 

Com a IA, a segurança cibernética evolui de uma abordagem reativa para uma proativa, antecipando problemas antes que eles ocorram e integrando soluções de segurança no início do desenvolvimento de software. Este é um avanço considerável que pode transformar a forma como as organizações protegem seus sistemas e dados.

A chave para uma implementação bem-sucedida da IA em segurança cibernética reside na colaboração contínua entre os desenvolvedores, as equipes de segurança e a tecnologia de IA. Juntos, podem criar um ecossistema de desenvolvimento de software que não apenas acelera a inovação, mas também assegura que essa inovação seja segura e confiável.

Conclusão 

Como conclusão, observamos que a IA está configurando o futuro da cibersegurança de maneiras que apenas começamos a entender. As organizações que abraçam essa tecnologia, seguindo as práticas recomendadas e focando na segurança desde o início, estarão melhor equipadas para enfrentar os desafios do amanhã. 

À medida que continuamos a explorar o potencial da IA, é essencial manter uma postura de vigilância e adaptabilidade, garantindo que as inovações em segurança cibernética continuem a proteger nossos sistemas e dados mais valiosos.

Cibersegurança: identidade está sob ataque no Brasil

Relatório IBM sobre cibersegurança: Identidade sob ataque no Brasil prejudica o tempo de recuperação das empresas após violações.  A IBM também viu o aumento da atividade de trojans bancários, visando clientes e correntistas.

#ComandanteCibernetico

A IBM lançou o X-Force Threat Intelligence Index 2024, destacando uma crise global emergente de credenciais, à medida que cibercriminosos têm explorado as identidades válidas dos usuários para comprometer empresas, a partir do acesso indevido a informações corporativas. Em todo o mundo, 71% dos ciberataques foram causados pela exploração de credenciais válidas.

De acordo com a IBM X-Force, área de Serviços de Segurança ofensiva e defensiva da IBM, em 2023, os cibercriminosos viram mais oportunidades de ‘fazer login’ através de contas válidas em vez de ‘hackear’ redes corporativas. No Brasil, a aquisição de credenciais e a extração de dados por meio de ferramentas legítimas foram ações comuns e recorrentes entre os cibercriminosos.

“O relatório enfatiza uma crise emergente de credenciais, uma vez que os cibercriminosos têm concentrado esforços no roubo e no comprometimento de identidades válidas. Essa tendência também impacta a América Latina em todos os setores e, provavelmente, aumentará à medida que os atacantes invistam em IA para otimizar as abordagens”, diz Fábio Mucci, líder de Software da IBM Security no Brasil.

“Isso deve nos manter em alerta e reforçar nossas estratégias de controle de credenciais e acessos, bem como nos levar a promover uma abordagem mais holística em relação à segurança, especialmente na era da IA generativa.”

O X-Force Threat Intelligence Index está baseado em insights e observações do monitoramento de mais de 150 bilhões de eventos de segurança por dia, em mais de 130 países e localidades, incluindo México, América Central e América do Sul. Além disso, os dados foram coletados e analisados a partir de múltiplas fontes da IBM, como IBM X-Force Threat Intelligence, Incident Response, X-Force Red, IBM Managed Security Services, e dados fornecidos por Red Hat Insights e Interzer, que contribuiu para o relatório de 2024.

Algumas descobertas relevantes do Brasil: 

• O Brasil continua sendo um alvo principal. Mais uma vez, o País foi o mais visado na América Latina, representando quase 68% dos incidentes apontados pelo X-Force na região. O X-Force continua a observar campanhas novas e melhoradas, especificamente direcionadas à América Latina, enfatizando uma tendência preocupante de maior risco para a região no futuro. 

• No nível da indústria, há um empate. Os setores de Energia e Varejo foram os mais visados, cada um registrando 41% dos casos. Além disso, o X-Force observou um aumento de campanhas que aproveitam extensões maliciosas do Chrome, a maioria concentrada em instituições financeiras da região. A IBM também viu o aumento do desenvolvimento e da atividade de trojans bancários baseados em .NET, visando clientes e correntistas. 

• Rotas de ataque. Em 2023, o principal vetor de acesso inicial no Brasil foi a exploração de aplicações públicas. Ou seja, o aproveitamento das fraquezas de computadores ou programas com acesso à Internet representaram 57% dos casos observados pelo X-Force. O uso de phishing ficou em segundo lugar, totalizando 29% dos casos.

• Tendências de ameaças mais observadas. As ações mais comuns no Brasil foram distribuídas de maneira uniforme entre malware (ransomware), acesso a servidores e uso de ferramentas legítimas (especificamente ferramentas para exfiltração de dados e aquisição de credenciais). Em relação ao impacto dos ataques, as implicações na reputação da marca e os vazamentos de dados foram os mais experimentados pelas organizações, com 25% cada.

Outras descobertas globais envolvendo o Brasil e a América Latina incluem: 

• Uma crise global de credenciais prestes a piorar. Em 2023, o X-Force viu atacantes investirem cada vez mais em operações para conseguir identidades de usuários, com um aumento de 266% no malware para roubo de informações. Essa ‘entrada fácil’ dos atacantes é uma das táticas mais difíceis de detectar, gerando altos custos na resposta das empresas.

• “Segurança básica” pode ser mais difícil de alcançar do que se acredita. Quase 85% dos ataques a setores críticos poderiam ter sido mitigados com patche de segurança, habilitando a autenticação multifator ou concedendo menos privilégios aos usuários. Isso destaca a frequente necessidade de as organizações realizarem testes de resistência em seus ambientes tecnológicos para avaliar potenciais exposições e desenvolver planos de resposta para possíveis incidentes.

• O ROI dos ataques contra a IA Generativa (IAG) ainda está para ser alcançado. Os projetos de análise do X-Force indicam que, quando uma única tecnologia de IAG se aproxima de 50% de participação de mercado ou quando o mercado se consolida em três ou menos tecnologias – isso pode desencadear a maturidade da IA como superfície de ataque, mobilizando mais investimentos em novas ferramentas dos cibercriminosos. As empresas também devem reconhecer que a infraestrutura existente é uma porta de entrada para os modelos de IA – que não requerem novas táticas por parte dos cibercriminosos –, destacando a necessidade de uma abordagem mais holística para a segurança na era da IAG, conforme descrito no IBM Framework para proteger a IAG.

• Todos são vulneráveis. A Red Hat Insights descobriu que 92% dos clientes possuem pelo menos uma vulnerabilidade ou exposição conhecida (CVE) não abordada que pode ser explorada em seu ambiente, enquanto 80% das dez principais vulnerabilidades detectadas em todos os sistemas em 2023 receberam uma pontuação de gravidade ‘alta’ ou ‘crítica’.

• Configurações de segurança incorreta. Os engajamentos de testes de penetração do X-Force Red indicam que as configurações incorretas de segurança representaram 30% do total de exposições identificadas, observando mais de 140 maneiras pelas quais os atacantes podem explorar as configurações erradas.

Fonte: CryptoID

4 Perguntas que todo CISO deve responder

No vasto e tumultuado oceano da tecnologia, os Chief Information Security Officers (CISOs) emergem como capitães dos navios empresariais, navegando através de tempestades de ameaças digitais e salvaguardando preciosos tesouros de dados. Como verdadeiros “Comandantes Cibernéticos”, eles enfrentam o desafio constante de manter suas embarcações seguras e prontas para responder a qualquer perigo iminente. É nesse contexto que Paulo Pagliusi, Ph.D., Capitão-de-Mar-e-Guerra reservista da Marinha, destila sua expertise de mais de 30 anos em Cibersegurança em quatro perguntas cruciais que todo CISO deve estar preparado para responder, desempenhando um papel vital na definição de uma estratégia robusta de cibersegurança para suas instituições.

1) Até que ponto estamos seguros? E expostos?

A segurança cibernética começa com o reconhecimento da paisagem de ameaças que rodeia uma organização. Essa compreensão abrangente requer uma visão clara de todos os componentes da superfície de ataque, incluindo recursos de nuvem, contêineres, sistemas de controle industrial e dispositivos móveis. Uma abordagem diligente para mapear essas áreas expõe onde a organização está mais vulnerável, permitindo a implementação de medidas defensivas mais eficazes. A gestão de vulnerabilidades, especialmente em um mundo onde a tecnologia evolui rapidamente, é fundamental para se manter a segurança.

2) O que devemos priorizar?

Na guerra contra as vulnerabilidades, a priorização é a chave para o sucesso. A capacidade de distinguir entre ameaças potenciais baseia-se numa análise cuidadosa da inteligência de ameaças combinada com uma compreensão do valor dos ativos empresariais em jogo. Este processo de priorização não apenas otimiza o uso de recursos, mas também minimiza o impacto potencial sobre operações, finanças e reputação da organização. Reduzir a “fadiga de alertas” permite que as equipes de segurança se concentrem nos riscos mais críticos, garantindo uma defesa mais eficaz contra ataques.

3) O que fazer para reduzir os riscos ao longo do tempo?

A evolução contínua das ameaças cibernéticas exige uma estratégia dinâmica que adapte as defesas de uma organização ao longo do tempo. Identificar métricas e KPIs claros permite monitorar o sucesso das iniciativas de segurança em diferentes áreas da empresa. Essa abordagem orientada por dados oferece insights valiosos sobre como o perfil de risco da organização muda, ajudando a informar decisões estratégicas e justificar investimentos em cibersegurança.

4) Como nos comparamos aos nossos colegas?

Entender a posição de uma organização no panorama da segurança cibernética em relação aos seus pares é crucial. Esta comparação não apenas destaca áreas de melhoria, mas também promove uma discussão estratégica sobre práticas de segurança. A análise comparativa ajuda a garantir que os esforços de segurança estejam alinhados com os padrões da indústria, fortalecendo a postura geral de segurança.

Em suma, a capacidade de um CISO responder a estas quatro perguntas fundamentais é essencial para uma estratégia de cibersegurança eficaz. O papel do “Comandante Cibernético” é complexo, exigindo vigilância constante, adaptação rápida às novas ameaças e um compromisso inabalável com a proteção dos ativos digitais. A liderança informada e proativa no campo da cibersegurança não apenas protege uma organização contra ameaças imediatas, mas também prepara o terreno para um futuro seguro e resiliente no ciberespaço.

Paulo Pagliusi, Ph.D. in Information Security

#ComandanteCibernetico