À medida que o mundo empresarial se torna cada vez mais dependente de tecnologia, os incidentes de segurança da informação se tornaram uma ameaça significativa para as organizações. Ataques cibernéticos, como o ransomware agora não são meros problemas técnicos, mas uma preocupação de grande relevância para reguladores de cibersegurança do mundo todo. 

Segundo dados divulgados pela Fortinet, empresa de software, produtos e serviços de cibersegurança, o Brasil é o segundo país mais atingido por ataques cibernéticos na América Latina, ficando atrás apenas do México.  

Ainda conforme a pesquisa, em 2022 o país testemunhou uma impressionante marca de 103 bilhões de tentativas de ataques, registrando 16% a mais em relação ao ano anterior. Além disso, aproximadamente 86% desse total está relacionado ao ransomware, indicando motivação financeira substancial por trás dessas ações. 

Esses dados revelam que, à medida que a tecnologia avança, os cibercriminosos se adaptam rapidamente a novas práticas diante às vulnerabilidades. Essa posição coloca não apenas as empresas em risco, mas também a privacidade e a segurança das informações de clientes e parceiros.  

Nesse aspecto, os reguladores, como a Comissão de Valores Mobiliários (CVM), Banco Central do Brasil (BCB) e a Superintendência de Seguros Privados (SUSEP) têm adotado uma postura proativa em relação à segurança cibernética, estabelecendo diretrizes rigorosas que as empresas listadas devem seguir. Tudo isso com o objetivo de garantir a proteção da confidencialidade, integridade e disponibilidade dos dados.

Assim, utilizar ferramentas especializadas é fundamental para o monitoramento da segurança das informações em tempo real, tendo como foco indicadores de riscos para a mitigação de ameaças e melhoria dos controles. No entanto, é relevante que as empresas tenham comandos efetivos, que sejam adequados ao tipo de mercado de atuação, bem como ao porte e complexidade da operação.  

Além disso, estes controles precisam levar em conta o fluxo de comunicação interna, pois nem sempre um incidente começará na infraestrutura de TI e, assim, não será gerado um alerta nos monitoramentos de tecnologia. Portanto, além dessa logística, deve-se ter o treinamento e a conscientização dos funcionários. 

Isso porque é de extrema importância que os colaboradores não caiam em armadilhas como phishing, ou seja, e-mails falsos que permitem o roubo de informações que podem resultar em invasões na infraestrutura de TI. Logo, para que episódios como estes não ocorram, as organizações devem estimular a comunicação efetiva em torno destes incidentes, além de promover a atenção da gestão de terceiro.  

Nesse contexto, é de extrema importância que os usuários comuniquem às áreas de governança corporativa a mínima suspeita de um eventual ataque cibernético, bem como informar qualquer falha ou erro operacional, em que dados de pessoas naturais, clientes, inclusive da empresa, entre outros, possam ter sido tratados de forma irregular. Afinal, de nada adianta os investimentos internos se os prestadores de serviço não adotam os mesmos padrões que a contratante. 

É contundente que as empresas abordem determinadas questões desde o momento da contratação, com a formalização de termos de confidencialidade (non-disclosure agreement – NDA), que são elaborados com rigor para garantir que todas as partes entendam as responsabilidades e os riscos associados à gestão de informações sensíveis. Além disso, deve priorizar a due dilligence (em português, ‘diligência prévia’) com os fornecedores, o que envolve avaliar a capacidade de proteger dados e informações confidenciais da empresa.  

A partir dessas medidas, as organizações podem reduzir significativamente os riscos relacionados à segurança da informação e garantir que os dados permaneçam protegidos, independentemente de onde residam no ecossistema corporativo. Essa abordagem não apenas protege, mas também amplia a confiança de clientes e parceiros de negócios. 

*Alexandre Tamura e Julia Bersan atuam na área de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados. 

Com a rápida transformação da Tecnologia da Informação, as organizações enfrentam pressões contínuas para se adaptar e inovar. Essas mudanças, por mais benéficas que possam ser para manter a operação competitiva e, consequentemente alavancar o crescimento do negócio, também introduzem novos riscos. É nesse contexto que a segurança cibernética ganha cada vez mais força.

Diante desse cenário, o gerenciamento de mudanças, quando alinhado com as práticas de segurança cibernética, pode atuar como um escudo, garantindo que as inovações não se transformem em vulnerabilidades. Nesse sentido, há três motivadores que tornam a segurança cibernética vital neste processo de gerenciamento de mudanças.

1. Novas tecnologias, novos riscos: com a introdução de novas tecnologias ou atualizações de sistemas existentes, há sempre o risco de introduzir vulnerabilidades não detectadas, e estas podem ser exploradas por atores mal-intencionados.
2. Mudanças organizacionais: reestruturações, fusões ou aquisições frequentemente levam a alterações em sistemas e processos. Sem uma revisão de segurança adequada, dados sensíveis podem ficar expostos ou sistemas podem ser deixados sem a proteção adequada.
3. Compliance regulatório: muitos setores têm regulamentações rigorosas sobre proteção de dados e segurança da informação. Assim, mudanças mal geridas podem resultar em violações destas regulamentações, resultando em multas e danos à reputação.

Conforme os tópicos abordados, fica claro de entender que, ao invés de avaliar os riscos de segurança cibernética apenas após uma mudança ter sido implementada, as organizações devem integrá-la desde o início do processo de gerenciamento de mudanças.

Para isso, é essencial que, antes de qualquer implementação em larga escala, as mudanças propostas sejam testadas em um ambiente controlado para identificar e mitigar potenciais vulnerabilidades. Vale ressaltar também que, após a implementação de uma mudança, é vital continuar monitorando e avaliando a segurança para detectar e responder rapidamente a quaisquer ameaças emergentes.

Por outro lado, quando novos sistemas são introduzidos ou processos são alterados, os funcionários devem ser treinados não apenas sobre como usar essas novas ferramentas, mas também em relação às práticas de segurança associadas.

Como resultado da integração da segurança cibernética no processo de gerenciamento de mudanças, as organizações passam a cultivar uma cultura na qual a segurança é considerada uma prioridade e não uma reflexão posterior.

A segurança cibernética e o gerenciamento de mudanças são duas faces da mesma moeda em um ambiente empresarial moderno. Enquanto o gerenciamento de mudanças visa melhorar e otimizar os processos de negócios, a segurança cibernética garante que essas mudanças não comprometam a integridade, a disponibilidade e a confidencialidade dos ativos digitais da empresa.

Integrar esses dois domínios não é apenas uma prática recomendada, mas uma necessidade imperativa para organizações que desejam prosperar em um mundo digitalmente conectado, mantendo-se seguras contra ameaças cibernéticas.

*Bruno Oliveira é consultor master de Segurança Cibernética da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Sem dúvida, a Tecnologia da Informação (TI) tem um papel fundamental nos processos de Segurança da Informação, pois viabiliza controles que garantem a proteção ou, no mínimo, mitigam os riscos. Porém, acreditar que essa área é responsabilidade exclusiva da TI talvez seja a maior fragilidade das empresas. Sem uma participação efetiva de todos os colaboradores, a Segurança da Informação provavelmente não vai acontecer. A gamificação para conscientizar sobre segurança pode ser uma estratégia importante pra isso

Existem várias causas possíveis para explicar essa visão de “coisa do pessoal da TI”. Uma delas, por exemplo, é a falta de percepção dos colaboradores sobre a importância do seu papel no processo de Segurança da Informação. Enquanto alguns profissionais se sentem inibidos e não entendem a “sopa de letrinhas” da tecnologia que envolve a área, outros estão tão habituados com as atividades que executam e têm um domínio tão completo sobre suas tarefas que encaram seu trabalho como algo trivial, não percebendo o valor das informações que utilizam e os impactos negativos que podem ocorrer caso esses dados sejam utilizados de forma inadequada.

Diante desse cenário, como mudar essa visão e conscientizar os colaboradores a criarem uma cultura da Segurança da Informação. Os treinamentos formais são úteis, importantes e necessários, mas não são o suficiente. Atualmente, ninguém mais quer ficar passivamente lendo manuais ou assistindo palestras tradicionais nas quais uma pessoa apresenta centenas de slides e a interação com o público é baixa ou nula.

Gamificação para conscientizar sobre Segurança da Informação

Um caminho para resolver essa questão é usar a gamificação,  um método de conscientizar pessoas e promover a mudança de comportamento utilizando a mecânica de jogos. Essencialmente, é pegar o que é divertido sobre os jogos e aplicá-lo a situações que talvez não sejam tão divertidas.

De maneira bem resumida, um caminho para conscientizar os colaboradores de forma a mudar seu comportamento e colaborar com a implantação de uma cultura de Segurança da Informação utilizando métodos de gamificação para conscientizar inclui:

• Enxergar o colaborador (usuário) como aliado, não como o elo mais fraco;
• Selecionar uma ferramenta adequada para alavancar o processo de gamificação;
• Criar um regulamento para o “jogo”, ou seja, o que vale e o que não vale ponto, duração da temporada, quais são os prêmios etc.;
• Definir os métodos de comunicação interna que serão utilizados para divulgar o “jogo”;
• Definir os indicadores de performance que serão utilizados para avaliar os resultados;
• Iniciar a temporada do jogo, acompanhar e apoiar os participantes durante toda a temporada;
• Encerrar a temporada, apurar os resultados e premiar os “vencedores”;
• Voltar a etapa 4 e iniciar uma nova temporada.

A Segurança da informação não é apenas responsabilidade do pessoal da TI. Pelo contrário, ela deve ser uma prática ativa de todos os colaboradores da empresa, independente de função ou nível hierárquico.

Utilizar um processo de conscientização baseado em técnicas de gamificação pode facilitar bastante o engajamento dos colaboradores nessa cultura, beneficiando a todos.

*Armando Ribeiro é consultor de cibersegurança da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

No cenário atual, é bem comum encontrar empresas que terceirizam as atividades da cadeia de suprimentos, decisão que, invariavelmente, intensifica a dependência dessas organizações em serviços externos. Contudo, à medida que essas contratações acontecem, há também o aumento de ataques cibernéticos, tornando a segurança digital indispensável para promover um bom funcionamento empresarial. Nesse contexto, a cibersegurança na cadeia de suprimentos ganha cada vez mais importância.

Segundo estudos da Gartner, até 2025, 60% das organizações do mundo todo usarão o risco de segurança cibernética como fator determinante na cadeia de suprimentos. Nesse sentido, a pesquisa mostra a preocupação das empresas sobre os perigos iminentes nas transações comerciais, incluindo fusões e aquisições, bem como contratos com fornecedores. 

Em contrapartida a essas perspectivas, ainda encontramos algumas vulnerabilidades proferidas pelos sistemas de segurança das organizações, que devem se atentar para não cair numa possível ‘cilada cibernética’. Nesse contexto, para melhor visualização destes casos, vamos imaginar uma empresa que tenha terceirizado a infraestrutura do setor de TI (Tecnologia da Informação).  

Cibersegurança na cadeia de suprimentos: consequências e sanções

Caso esse prestador de serviço sofra uma invasão, por exemplo, o atacante pode ter acesso a dados valiosos de quem contratou o trabalho e, dessa forma, comprometer a segurança, tanto do acesso remoto ou de dados pessoais e sensíveis da organização que o contratou. Mesmo que a contratante tenha controles avançados de segurança, a empresa ainda pode ser prejudicada pelo ataque, devido a esse terceiro vulnerável. 

Além disso, se os dados acessados incluírem informações pessoais de clientes, a empresa que terceirizou esse serviço pode enfrentar sanções sob a LGPD (Lei Geral de Proteção de Dados), pois a propriedade e a responsabilidade das informações são da contratante. Esses casos mostram que a decisão das organizações em terceirizar serviços tão importantes é colocada em xeque, tendo em vista que se pode perder o controle das atividades com a ação de criminosos. 

Diante aos ocorridos, algumas medidas devem ser adotadas para que as empresas da cadeia de suprimentos não se comprometam com os seus clientes. E entre as mais importantes, está a realização de auditorias de cibersegurança e privacidade de forma periódica nesses serviços terceirizados. 

Essa avaliação vai identificar se os terceiros implementam controles de segurança tão rígidos quanto aos da contratante. Além disso, é considerável que a empresa deva assegurar que os contratos tenham cláusulas exigindo dos prestadores de serviços a implementação de controles de segurança de informações, bem como mecanismos de demonstração de conformidade com a LGPD. Isso ajuda a contratante a se precaver de possíveis infortúnios advindos de ataques cibernéticos. 

Também é importante ter em mente as vulnerabilidades postas aos acessos remotos, assim como a dados sensíveis e pessoais. Mesmo que as ações ocorram via VPN (em português, Rede Privada Virtual) – considerada segura por ser criptografada, ela também pode ser uma questão na parte de segurança, devido a ataques de roubo de senhas. Isso possibilita que um invasor que tenha as credenciais de terceiros acesse informações sensíveis da empresa, especialmente se as permissões estiverem mal configuradas.  

Neste caso, para mitigar os riscos, o ZTNA (Zero Trust Network Access, ou ‘acesso de confiança zero à rede’ em tradução livre) cria limites seguros para acesso aos aplicativos. Ou seja, os usuários só terão essa permissão após a verificação da identidade, do contexto e da adesão à política de cada solicitação específica.  

Dessa maneira, ao invés do terceiro ter acesso à toda rede interna via VPN, ele terá um login em um portal que permitirá acesso somente ao ambiente autorizado. Em meio a esse controle, é fundamental realizar avaliações independentes e detalhadas dos riscos de cibersegurança e privacidade de dados antes mesmo da homologação e do início da prestação de serviços. 

Em suma, as empresas devem ter conhecimento sobre os riscos, as responsabilidades e os impactos que incidentes como esses podem trazer, considerando  indispensável a comunicação e a conscientização eficaz entre as equipes, junto aos diferentes envolvidos, a fim de assegurar o sucesso das ações preventivas e estruturadas. A cibersegurança da cadeia de suprimentos é indispensável nesse processo.

*Matheus Jacyntho é diretor de Cibersegurança e André Cilurzo é diretor de soluções de Data Privacy e atendimento à LGPD, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

Atualmente, uma das maiores preocupações das grandes corporações é referente a Segurança da Informação. De acordo com a pesquisa ‘Futuro da Segurança Cibernética 2023’, conduzida pela consultoria Deloitte, 91% das empresas de alto desempenho investem em segurança cibernética. Além disso, pelo menos 66% das organizações revisam e atualizam seus planos anualmente. para garantir a segurança de dados.

E quando falamos sobre assuntos relacionados à cibersegurança, diversos termos são utilizados, dentre os quais se destacam ‘risco’, ‘ameaça’ e ‘vulnerabilidade’. 

No entanto, embora os números sejam positivos e esses termos sejam comuns, é importante compreender a diferenciação entre eles para tomar decisões empresariais informadas. Ter clareza sobre a situação, seja ela um risco, uma ameaça ou uma vulnerabilidade, é fundamental para garantir a eficácia das atividades de segurança de dados nas organizações. 

Dessa forma, abaixo é destacado a definição de cada um dos termos, para que as empresas estejam bem-preparadas para a resolução de determinados problemas. 

Risco 

‘Risco’ pode ser definido como qualquer evento que possa ter um impacto negativo para os negócios da empresa, ou seja, a incapacidade da organização alcançar os objetivos de negócio. Isso envolve o potencial de perda, dano ou até mesmo a destruição de um ativo. Dessa forma, o ‘risco’ pode ser classificado em diversas categorias como, por exemplo, incontroláveis, mercadológicos, operacionais, legais e humanos, entre outros. 

Segundo a OWASP (Open Web Application Security Project), comunidade on-line que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web, podemos calcular a gravidade do ‘risco’ da seguinte forma: risco igual a probabilidade versus impacto. Isso significa que, conhecendo os dados sobre o agente da ameaça, bem como o impacto nos negócios, podemos ter uma visão geral da gravidade desse risco. 

E para ilustrar melhor esta definição, alguns exemplos de riscos mais observados nas empresas são descontinuidade de negócio; perdas financeiras, de privacidade, de confiança e de vidas; danos à reputação; sanções judiciais e prejuízo ao crescimento. 

Ameaça 

Caracterizada como um evento ou causa potencial para a ocorrência de um incidente indesejado, a ‘ameaça’ pode impactar negativamente o sistema. Além disso, o termo é utilizado no momento em que um dado é gerado por algum agente mal-intencionado, que busca por vulnerabilidade na organização. 

Nesse sentido, os exemplos mais comuns de ‘ameaça’ nas empresas são funcionários descontentes e, ou desonestos; criminosos ou cibercriminosos; governos; terroristas ou ciberterroristas; empresas rivais ou competidores; eventos da natureza e catástrofes. 

Vulnerabilidade 

A ‘vulnerabilidade’ pode ser definida apenas como uma ‘fraqueza’ que é explorada por uma ameaça, seja ela em um sistema, um controle interno ou até mesmo um procedimento de segurança. Esses recursos fragilizam os sistemas, deixando-os passíveis a diversas atividades ilegítimas e, ou ilegais.  

Sob este aspecto, as vulnerabilidades podem causar os ‘riscos’ citados acima, ocasionando perdas significativas e, em alguns casos, irreversíveis. Nesse âmbito, entre os episódios mais comuns no mercado estão:  bugs em softwares; processos desajustados ou inapropriados; controles ineficazes; falhas humanas e de hardwares e sistemas sem atualizações. 

Em resumo, é fundamental compreender a diferenciação entre esses termos como primeiro passo para que uma empresa possa identificar e gerenciar as vulnerabilidades de forma eficaz. Com esse conhecimento, é possível combater as ameaças e, consequentemente, reduzir consideravelmente os ‘riscos’ nas organizações. 

*Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

Pentest e Red Teaming são duas práticas essenciais de cibersegurança que fortalecem a postura de uma organização ao descobrir vulnerabilidades em seus sistemas, redes, pessoas ou processos de negócios. Essas metodologias possuem objetivos, escopos, abordagens e tecnologias distintas. Entenda algumas dessas diferenças a seguir.

O pentest é um ataque simulado direcionado a um sistema ou rede específicos, com o objetivo de descobrir e relatar vulnerabilidades suscetíveis à exploração. Esse tipo de teste é projetado para avaliar controles primários, como gerenciamento de patches e vulnerabilidades, configuração e fortalecimento do sistema, criptografia, segurança de aplicativos, segmentação de rede, gerenciamento de acesso privilegiado e aplicação de políticas de segurança. O escopo desse engajamento é definido, e o custo varia com base na extensão e profundidade da avaliação.

Por outro lado, o red teaming oferece uma avaliação direcionada da postura de segurança de uma organização. Muitas vezes, concentra-se na capacidade de uma ameaça obter acesso não intencional, juntamente com testes de controles detectivos e preventivos.

Controles detectivos vs. controles preventivos

Controles detectivos incluem sistemas de detecção de intrusões (IDS), resposta a incidentes em endpoints (EDR), sistemas de gerenciamento de informações e eventos de segurança (SIEM), análise de logs e detecção de anomalias. Já os controles preventivos envolvem firewalls, listas de controle de acesso, sistemas de prevenção de intrusões (IPS), autenticação multifator (MFA) e segmentação de rede. O objetivo é identificar e explorar vulnerabilidades de maneira semelhante a um atacante real. Ao mesmo tempo, o teste avalia a capacidade da organização de detectar e prevenir ataques. O red teaming é um exercício baseado em objetivos destinado a simular ameaças do mundo real que visam uma organização.

Esses objetivos normalmente incluem a comprometimento do ambiente interno a partir de uma perspectiva externa, acesso a sistemas sensíveis ou interrupção de processos de negócios. Os caminhos de ataque ou metodologias do atacante nos exercícios de red teaming ajudam a avaliar a resiliência de uma organização contra vários atores de ameaças, incluindo estados-nação, crimes organizados e ameaças internas. Essa abordagem exige testadores altamente qualificados, que devem trabalhar de maneira lenta, deliberada e silenciosa para evitar detecção, o que pode resultar em um custo mais alto em comparação com os pentests. A complexidade e sofisticação do exercício, a necessidade de extensa pesquisa e reconhecimento, e a exigência de um maior nível de coordenação entre testadores e a organização são alguns dos fatores que contribuem para o maior custo.

Como escolher entre pentest e red teaming?

As organizações devem basear sua decisão em seus objetivos específicos e tolerância a riscos.

• Para o red teaming, em particular, as empresas devem adaptar o escopo e os objetivos para se concentrarem em áreas de riscos-chave.
• Por exemplo, um sistema de saúde pode priorizar a proteção de registros médicos. Ao mesmo tempo, uma organização de P&D pode enfatizar a proteção da propriedade intelectual. Já organizações com processos de aquisição complexos podem concentrar-se nos dados financeiros.
• Ou seja, ao alinhar a metodologia e áreas críticas, as organizações podem abordar efetivamente as vulnerabilidades potenciais e seu impacto na reputação, compliance e bem-estar financeiro.

Em termos de tecnologia, ambas as práticas empregam várias ferramentas e técnicas, como scanners automatizados de vulnerabilidades, utilitários de teste de penetração manual e scripts personalizados para avaliar redes e sistemas-alvo.

• O red teaming visa simular ameaças do mundo real.
• Todas as ferramentas e técnicas geralmente são consideradas dentro do escopo, mas podem não ser necessariamente usadas.
• O red teaming também pode incorporar engenharia social e avaliações de segurança física para avaliar a conscientização dos funcionários e a aderência às políticas de segurança.

Cibersegurança: práticas essenciais

Pentest e red teaming são práticas cruciais que ajudam a identificar e abordar vulnerabilidades potenciais em sistemas, redes e processos das organizações.

Contratar especialistas externos e imparciais para essas avaliações pode oferecer novas perspectivas e identificar problemas que equipes internas podem ignorar. É crucial não apenas identificar vulnerabilidades, mas também priorizar a remediação e validação oportunas para fortalecer a postura de segurança geral da organização. Ao considerar as descobertas desenvolvidas como parte de um red team ou pentest, os líderes podem tomar decisões informadas para proteger os ativos da organização.

Originalmente publicado por Jon Medina, Manny Gomez e Abdoul Cisse em Protiviti Inc. Traduzido e adaptado por Protiviti Brasil.

No mundo atual, é comum sermos impactados pelo crescimento exponencial de informações eletrônicas, apresentando desafios significativos aos profissionais da área jurídica, bem como investigadores nas etapas de coleta, análise e revisão de dados.  Nesse contexto, as ferramentas eDiscovery, que identificam, coletam, analisam e revisam informações eletrônicas relevantes em casos legais, se tornaram essenciais, oferecendo soluções eficientes para lidar com grande volume e complexidade de dados.  

Em qualquer tipo de atividade ou operação semelhante, é importante que as empresas sigam diretrizes, metodologias e práticas deste modelo.  

No aspecto investigativo, por exemplo, temos como referência de metodologia o EDRM (Electronic Discovery Reference Model) ou ‘Modelo de Referência de Descoberta Eletrônica’, em tradução livre, que pode ser uma diretriz para o processo de descoberta eletrônica.  

Este recurso compreende oito etapas sequenciais, incluindo a identificação de fontes de informação; a preservação de dados; a coleta; o processamento; a revisão; a análise; a produção; e a apresentação dos resultados. Dessa forma, o modelo EDRM fornece uma estrutura abrangente que auxilia os profissionais na execução eficiente de cada fase do processo de eDiscovery. 

Seguindo essa metodologia, logo nas primeiras fases está o conjunto de atividades mais sensíveis em qualquer tipo de investigação: a identificação, a coleta e a preservação da evidência digital. Nesse sentido, qualquer manipulação indevida e incorreta pode acabar invalidando todo o processo investigativo.  

E para que o processo não sofra tal desvio, profissionais também podem utilizar a ABNT NBR ISO/IEC 27037, norma internacional que estabelece diretrizes para a preservação de evidências digitais durante processos de investigação. Ela desempenha um papel crucial na garantia da integridade, autenticidade, confidencialidade e acessibilidade das evidências coletadas, além de fornecer orientações para o planejamento, a coleta, a autenticação, o armazenamento e a devida documentação das evidências digitais, garantindo validade e admissibilidade em um processo investigativo. 

Com a clareza e padronização destes procedimentos, é notório o volume de benefícios significativos por meio do processamento de dados. Dentre eles, está a redução do volume de informações caracterizadas como irrelevantes ou duplicadas, acelerando, assim, a revisão e a tomada de decisões mais ágeis. Além disso, essa condução garante a indexação e a organização estruturada dos dados, assegurando a integridade das informações processadas.  

Ainda nesse contexto, a fase de revisão e a análise é uma das etapas mais críticas do processo. Isso porque, os investigadores examinam as informações eletrônicas para identificar documentos relevantes, padrões ou evidências importantes para o caso em questão. Com isso, utilizando as ferramentas de eDiscovery, é possível conduzir buscas avançadas, aplicar filtros criteriosos e utilizar recursos de análise para explorar os dados em detalhes.  

A revisão e análise cuidadosas, portanto, permitem tomar decisões bem fundamentadas durante o processo, possibilitando uma compreensão abrangente dos fatos e auxiliando na construção de estratégias sólidas na tomada de decisão. Essa etapa também pode envolver a colaboração entre equipes multidisciplinares, como especialistas em forense digital e advogados, para obtenção de insights valiosos.

Já a apresentação dos resultados é a última etapa. Nela, os profissionais organizam e comunicam as descobertas de forma clara e por meio de apresentação dos dados e dos gráficos, a fim de enfatizar os pontos-chave e dar suporte à argumentação jurídica. 

Em suma, ao seguir os processos por meio das ferramentas de eDiscovery, é possível economizar tempo, reduzir custos e tornar o processo mais eficiente, permitindo, assim, que os profissionais do direito se concentrem nas informações relevantes e tomem decisões informadas, tendo como apoio o uso da abordagem orientada a dados. 

*Luis Fernando Barbosa é gerente sênior Tecnologia Forense na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

O gerenciamento de exposição a ameaças foi considerada uma das tendências de cibersegurança pelo Gartner para o ano de 2023, mostrando que os ataques realizados por criminosos estão ficando cada vez mais sofisticados. A consultoria também prevê que, até 2026, cerca de 60% das detecções, investigações e respostas a ameaças irão se beneficiar do controle de dados expostos para, então, validar e priorizar ameaças detectadas.

Esse controle é trabalhado dentro da área de Threat Intelligence, ou Inteligência de Ameaças, em português, e se trata de uma das respostas mais eficientes contra os hackers, pois ajuda a entender os atacantes, responder de forma mais rápida e eficiente a incidentes e prever proativamente o próximo passo dos criminosos, beneficiando empresas de todos os tamanhos. Além desses pontos, a adoção de um serviço de inteligência também reduz riscos, evita violações de dados e mantém os custos reduzidos.

É importante salientar que a inteligência deriva da informação. Essa, por sua vez, é obtida após o processamento de algum dado significativo dentro de um contexto, como, por exemplo: João, 27 anos, Brasil. Esses dados separados não nos entregam resultados, mas quando os juntamos é possível chegar a algumas conclusões, como: João tem 27 anos e mora no Brasil. A informação geralmente tem como foco o presente ou o passado e desempenha um papel fundamental na tomada de decisões, na comunicação e no avanço do conhecimento em todos os tipos de área de conhecimento e negócio.

Já quando falamos de inteligência, o foco muda, de presente ou passado, para antecipação, o que envolve os passos dos cibercriminosos, as mudanças, os riscos e as oportunidades sempre baseando-se em análises e interpretações dos dados e das informações. Ou seja, a inteligência é uma parte essencial da cibersegurança moderna e ajuda as organizações a entenderem melhor o cenário de ameaças em constante evolução. O ciclo de inteligência pode ser resumido em cinco etapas, conforme exposto a seguir.

1. Planejamento: essa fase envolve todos os pontos focais do ciclo, desde a identificação de necessidade, até a etapa de entrega ao cliente. O planejamento se encontra tanto no início quanto no fim do ciclo, pois após a entrega dos resultados, geralmente, se percebe outra necessidade levando a outro planejamento.
2. Coleta: para uma coleta ser eficaz, é necessário planejar, direcionar e focar os esforços nas fontes de dados corretas, como registros públicos, relatórios da mídia, internet etc. A coleta de códigos abertos, que estão disponíveis publicamente, também é muito importante nesta fase, pois enriquece a unidade de inteligência, aumentando sua capacidade de analisar recursos.
3. Processamento: neste momento ocorre a indexação, classificação e organização dos dados, ou seja, eles são transformados em informações para que possam ser consultados com facilidade.
4. Análise e produção: neste ponto, a informação obtida na fase de processamento começa a ser utilizada para geração de inteligência, ou seja, ocorrem análises e avaliações. Vale ressaltar que confiabilidade, validade e relevância são pontos extremamente importantes quando as análises são colocadas em algum contexto para a realização de julgamentos referentes a determinadas situações e eventos.
5. Disseminação: essa é a última etapa do ciclo. Aqui ocorre a distribuição de inteligência para os solicitantes tomarem decisões ou agir com base no relatório recebido. Nesta etapa, o solicitante também avalia o valor da inteligência fornecida, para se iniciar um novo ciclo.

Devido à alta taxa de desenvolvimento tecnológico, a cada dia que passa estamos mais expostos. Hoje, é comum observar dezenas de vazamentos de dados todas as semanas. Por isso, a Inteligência de Ameaças chegou para defender de forma proativa o negócio, beneficiando também áreas que não estão ligadas diretamente à Segurança da Informação. Ao adotar esse tipo de serviço, as organizações podem melhorar significativamente sua postura de segurança e reduzir os riscos associados às ameaças cibernéticas em constante evolução.

*Adenilson Almeida é gerente de cibersegurança e Juan Riquelme Marin Santos é consultor de cibersegurança. Ambos atuam na Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Imagine a seguinte situação: chegou o momento do pagamento do bônus sobre os resultados. Centenas de funcionários estão ansiosos para saber quando e quanto irão receber. De repente, todos recebem um e-mail com remetente da empresa e a seguinte mensagem: “Seu PLR já foi calculado. Acesse o link abaixo da intranet para saber o valor.” Um dos colaboradores acha aquilo estranho e reporta o caso para a TI. Tarde demais! Dezenas de pessoas já clicaram e passaram as suas senhas para o hacker, que conseguiu a chave da porta de entrada para os sistemas e dados da empresa.

Cenários como esse comprovam que o ser humano é a última barreira de segurança da informação. Ele pode ser a maior fortaleza ou a maior fragilidade da organização. Ou seja, mesmo que uma empresa invista pesadamente em tecnologias, os seres humanos ainda podem causar fragilidades nos sistemas de informação. Isso ocorre porque as pessoas são propensas a erros, como clicar em links maliciosos, digitar senhas inseguras e fornecer informações pessoais a terceiros não autorizados.

Essa afirmação não é só palavras ao vento. Há números que lastreiam isso. De acordo com o Fórum Econômico Mundial, 95% dos incidentes de segurança cibernética ocorrem devido a erro humano. O consentimento de pessoas em passar dados sigilosos que permitem os criminosos avançarem nas barreiras de cibersegurança acontece porque elas sequer sabem que estão fazendo algo errado. E, do outro lado da ponta, temos a engenharia social, que é uma técnica utilizada por hackers para enganar as pessoas a revelar informações confidenciais ou tomar ações que possam comprometer a segurança da informação. Os hackers podem usar uma variedade de técnicas de engenharia social, incluindo:

• Phishing: neste caso, os hackers enviam e-mails falsos que parecem ser de fontes confiáveis, como os bancos ou as empresas de tecnologia. Esses e-mails geralmente solicitam que as pessoas cliquem em links maliciosos ou forneçam informações pessoais, como senhas ou números de cartão de crédito.
• Vishing: aqui, os criminosos realizam chamadas telefônicas falsas que parecem ser de fontes confiáveis. Mais uma vez, solicitam informações pessoais, como senhas ou números de cartão de crédito.
• Pretexting: nessa modalidade, os hackers se passam por alguém que tem autoridade ou conhecimento com o objetivo de ter acesso a informações confidenciais ou tomar ações que possam comprometer a segurança.
• Tailgating: a técnica acontece quando os hackers seguem alguém para dentro de um prédio ou local seguro.
• Dumpster diving: os criminosos vasculham latas de lixo em busca de informações confidenciais, como senhas ou números de cartão de crédito. E contra este tipo de ataque, não há nenhuma barreira tecnológica melhor do que capacitar o próprio ser humano para bloquear as tentativas.

Se tiver que elencar um desses ataques como prioritários na condução de ações de proteção das empresas, seria o de phishing. Isso porque os criminosos estão usando técnicas cada vez mais avançadas para enganar os funcionários, incluindo o uso de logotipos e nomes de empresas conhecidas, bem como a criação de e-mails que parecem ser urgentes ou importantes. Em muitos casos, o hacker coleta informações de eventos importantes da organização e, a partir disso, monta os e-mails.

Mas, a boa notícia é que o mercado já dispõe de algumas soluções para ajudar as empresas a testar o comportamento humano em situações de engenharia social, contemplando ferramentas de disparo de testes de phishing, monitoramento e sinalização de e-mails suspeitos, além da capacitação de colaboradores para que não caiam nessas ciladas. Com esses tipos de tecnologia é possível:

• Criar um programa de conscientização em segurança personalizado para a organização. Esses cursos podem ensinar aos funcionários como identificar e evitar e-mails de phishing, além de responder a ataques.
• Eliminar os treinamentos antigos “Next-Next-Finish”. Essas plataformas apresentam treinamentos modernos em segurança, ajudando a manter os usuários atentos aos riscos atuais.
• Permitir aos usuários denunciar e-mails de phishing a partir da implementação do “Phish Alert Button” no seu cliente de e-mail. Desta maneira, a equipe de resposta a incidentes poderá identificar e responder mais rapidamente às ameaças em e-mail.

Independente da solução aplicada, avaliar, conscientizar e monitorar o ambiente de trabalho é a melhor solução para fazer o upgrade de segurança da informação aos colaboradores da organização.

*Matheus Jacyntho é diretor de Cibersegurança e Rodrigo de Castro Schiavinato é diretor-executivo de parcerias e inovação e sócio, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.