Ir para o conteúdo principal

Segurança cibernética

20 de junho de 2024

 

Levando a sala de reuniões para o campo de batalha cibernético.

Especialistas em segurança cibernética estão treinando líderes corporativos para tomarem decisões cruciais que protegerão suas empresas do crescente número de ataques de ransomware e spyware, além de outras ameaças.

Christine Gibson

Contribuinte

No início de 2020, um grupo extremamente sofisticado de hackers realizou um dos ciberataques mais abrangentes da história. Acredita-se que, trabalhando para o governo russo, eles se infiltraram nos sistemas de computador de uma desenvolvedora de software de gerenciamento de TI chamada SolarWinds e inseriram código malicioso na linha de ferramentas de monitoramento da empresa.

Em junho, o malware já havia dado aos hackers acesso ao funcionamento interno de centenas de agências federais e empresas da lista Fortune 500. Quando o ataque foi detectado, o grupo já havia tido meses para espionar operações governamentais e corporativas.

Tanto para o setor público quanto para o privado, o incidente serviu como um alerta para uma ameaça que vem aumentando constantemente. Os ciberataques são tão antigos quanto a internet, mas nos últimos anos tornaram-se mais sofisticados, insidiosos e destrutivos. Embora as perdas diretas relatadas devido a ataques cibernéticos sejam pequenas, em torno de US$ 500.000, o Fundo Monetário Internacional relatou recentemente que o risco de perdas extremas — pelo menos de US$ 2,5 bilhões — aumentou.

Considerando a gravidade da situação, a responsabilidade de proteger uma empresa contra ataques cibernéticos recai sobre seus membros de mais alto escalão: o conselho de administração. Uma parte crucial do seu trabalho hoje é avaliar se a cultura e a governança adequadas estão em vigor para proteger os sistemas da empresa contra ameaças de segurança cibernética, e para isso precisam de uma compreensão detalhada do risco cibernético.

“Os conselhos de administração precisam ser financeiramente astutos, é claro, mas também precisam ser astutos em segurança cibernética”, diz Ron Green, especialista em segurança cibernética da Mastercard e ex-diretor de segurança. “Eles enfrentam esse desafio todos os dias, quer tenham consciência disso ou não.”

No entanto, esse nível de especialização é raro entre os diretores. Apenas 12% dos conselhos administrativos das empresas listadas no índice S&P 500 incluem um especialista em cibersegurança, afirma Kimberly Cheatle, diretora do Serviço Secreto dos EUA, citando um estudo de 2023 da NightDragon, uma empresa de capital de risco que financia empresas de cibersegurança, e do Diligent Institute.

Para ajudar os diretores a protegerem suas empresas — e seus concidadãos — contra crimes cibernéticos, a Mastercard desenvolveu um curso de treinamento, a Cybersecurity Board Academy, em colaboração com o Serviço Secreto dos EUA, a Agência de Segurança Cibernética e de Infraestrutura, a Associação Nacional de Diretores Corporativos e a NightDragon. “Esta é uma oportunidade realmente única para começar a reduzir essa lacuna”, diz Cheatle.

A primeira sessão da Academia do Conselho de Diretores da CISA e do Serviço Secreto, realizada na terça-feira no Centro de Treinamento James J. Rowley do Serviço Secreto em South Laurel, Maryland, reuniu diretores corporativos e especialistas do setor para explorar o estado da arte em proteção de redes digitais.

 

Ron Green, especialista em cibersegurança da Mastercard, discursa para diretores corporativos que participam de um treinamento sobre risco cibernético e resiliência em Maryland, no início desta semana. (Crédito da foto: Rebecca Abraham)

“Queríamos garantir que estávamos fortalecendo essa conectividade”, diz Jen Easterly, diretora da CISA. Ela afirma que o setor privado "obviamente não deve ser obrigado a enfrentar sozinho atores estatais sofisticados". Portanto, isso dá grande importância ao aumento e ao fortalecimento da conectividade entre o setor público e o setor privado."

Trabalhando juntos para proteger a infraestrutura nacional.

Em um mundo cada vez mais interconectado, a cibersegurança deve ser um esforço de equipe. Assim, a Mastercard e seus parceiros convidaram diretores de empresas da Fortune 500 e muitos representantes de infraestruturas críticas dos EUA para aprender em primeira mão com especialistas do governo e da indústria. Em um currículo baseado nos princípios da NACD e da Internet Security Alliance para uma supervisão eficaz de riscos cibernéticos, os participantes discutiram ameaças, governança, proteção e resiliência, construindo uma base de melhores práticas para a defesa cibernética contínua.

Nesses ataques, os danos podem ir muito além do aspecto financeiro, com agentes criminosos e patrocinados pelo Estado realizando campanhas de espionagem ou tentando desativar infraestruturas nacionais críticas. Nenhuma instituição está fora dos limites. Hospitais, sistemas escolares, laboratórios de pesquisa médica, governos estaduais e locais — todos se tornaram alvos. E, como grande parte da infraestrutura dos EUA pertence a entidades privadas, o setor empresarial desempenha um papel crucial na defesa civil.

“Descobrir maneiras de nos mantermos vigilantes em relação a isso, em nome de nossas empresas — em nome de nosso país — é essencial para o que fazemos”, disse Stephen Jennings, diretor independente da fabricante de chips Analog Devices, que estava entre os 16 diretores que participaram da sessão inaugural. “Estamos a obter uma melhor compreensão das capacidades de aplicação da lei, das últimas tendências e dos riscos mais recentes.”

“A cibersegurança tem de ser um esforço coletivo, e agora podemos ter mais colaboração entre a indústria e o setor público para a combater no futuro. A ameaça não vai desaparecer tão cedo. Esta será uma luta contínua.”

Stephen Jennings

O programa também está a criar uma parceria público-privada contínua, para que os participantes possam continuar a aprender uns com os outros e a antecipar-se às ameaças. Os membros do conselho podem recorrer a uma rede cada vez maior de especialistas em cibersegurança, enquanto a CISA e o Serviço Secreto têm um canal para receber feedback e aprimorar suas mensagens para o setor privado em geral.

“A cibersegurança tem de ser um esforço coletivo, e agora podemos ter mais colaboração entre a indústria e o setor público para a combater no futuro”, afirma Jennings. “A ameaça não vai desaparecer tão cedo.” Esta será uma luta contínua.”