Segurança da informação: saiba o que fazer quando sua empresa sofre um ataque hacker

Os ataques cibernéticos aumentaram muito em todo o mundo e principalmente entre as empresas brasileiras. Somente no primeiro trimestre de 2021, o Brasil sofreu mais de 3,2 bilhões de tentativas de ataques. O país lidera o ranking da América Latina, com quase metade dos 7 bilhões de tentativas no período.

Atualmente, os ataques mais comuns são via phishing - técnica de engenharia social usada para enganar usuários e obter informações confidenciais -, ransomware - código malicioso que tornam inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia -, e vírus - software malicioso desenvolvido por programadores geralmente inescrupulosos.

Por isso é fundamental que as empresas invistam na prevenção e tenham um plano de resposta a incidente caso aconteça. Se não têm, o momento de criar é agora. Quanto mais dependente da tecnologia é o negócio, mais importante é manter os dados protegidos. Os alvos mais propícios são aqueles com falta de ambiente de navegação seguro para os usuários, ou, quando presente, conta com proteções muito básicas.

Não conscientizar os colaboradores é um fator muito comum nesses casos. Eles são os alvos preferidos dos cibercriminosos por estarem em constante uso da internet - até para uso pessoal, como em redes sociais -, tornando um caminho muito fácil para vazamentos e golpes, levando a um prejuízo financeiro, tanto para a empresa quanto para seus clientes. Além disso, as instituições perdem valor competitivo frente aos concorrentes, sem contar a imagem negativa diante do mercado.

Em caso de um incidente de segurança, a primeira coisa a se fazer é avaliar internamente a sua natureza, a categoria e seu nível de gravidade e quantidade de titulares de dados afetados. Após essa análise, é imprescindível comunicar ao especialista e/ou responsável na instituição por seguir as normas da Lei Geral de Proteção de Dados (LGPD). Em caso de risco ou danos gravíssimos aos titulares, deve-se comunicar à Autoridade Nacional de Proteção de Dados (ANPD).

Após os primeiros passos legais, a transparência é a base da segunda etapa. É essencial demonstrar clareza aos colaboradores, clientes e fornecedores e comunicá-los do ocorrido e das decisões que foram tomadas - principalmente se houver evidências que a privacidade dos mesmos foram comprometida. Identifique as pessoas que tiveram seus dados expostos e avise-os cuidadosamente e de maneira personalizada. Aos que não foram atingidos diretamente, após a situação controlada, devem ser informados, provando que não houve prejuízos.

Melhor do que estar preparado para caso o incidente ocorra, é não deixar com que ele aconteça - e alguns passos são importantes para minimizar as possibilidades. Ter meios de proteção eficientes e checados recorrentemente, estabelecer um programa de conscientização para orientar os colaboradores e aplicar testes de simulação recorrentes, saber identificar os riscos e pontos cruciais que o negócio ou segmento enfrenta e ter um Plano de Continuidade de Negócios (PCN) em caso de um incidente são as principais alternativas.

As organizações, no geral, estão mais preocupadas com o tema segurança da informação, e isso ocorre devido ao grande número de casos, incidentes, notícias na mídia e advento da LGPD. Elas não estão só investindo em tecnologia, mas também na conscientização dos colaboradores. As empresas que incluem esse investimento como prioridade já estão sentindo impacto positivo nos processos internos, com os clientes e também com os fornecedores.

*Denis Riviello, Head de Cibersegurança da Compugraf - provedora de soluções de segurança da informação e privacidade de dados das principais empresas brasileiras. Especialista de Segurança com mais de 20 anos de experiência em concepção e estruturação personalizada de áreas responsáveis por segurança da informação de grandes empresas, além de estar à frente das Áreas de Segurança de pré-vendas e Customer Success.