Novas tecnologias surgem a todo momento, e as ameaças à segurança da informação se adaptam a elas na mesma velocidade. Ataques cibernéticos podem ter consequências devastadoras para uma organização, como vazamento de dados e interrupção das atividades, gerando gastos inesperados e, até mesmo, danos à reputação. Por isso, é fundamental que as empresas tomem medidas para se proteger contra essas ameaças, a primeira, é saber com o que devem se preocupar.
Com base no artigo Cybercrime (and Security) - Predictions for 2023, da The Hacker News, estão descritas algumas tendências para 2023.
Aumento de ataques à cadeia de suprimentos digital[1]
Até pouco tempo atrás, o risco de ataque à cadeia de suprimentos digital não existia. Afinal, as cadeias de suprimentos não eram digitais e conectadas à internet. Porém, com o uso de novas tecnologias empregadas às cadeias de suprimentos, surgiram novos riscos de segurança, alguns que ainda não foram identificados.
Gartner, uma das principais empresas de pesquisa e consultoria em tecnologia da informação, prevê que até 2025, 45% das organizações em todo o mundo sofrerão ataques à sua cadeia de suprimentos digital.
Desta forma, se sua empresa está utilizando um novo software para gerir a cadeia de suprimentos, ou planeja adotar um em breve, é importante manter as configurações de segurança cibernética atualizadas. Contratar pessoas com vasta experiência em cadeias de suprimento digital, também, é fundamental para garantir que as medidas de segurança sejam implementadas corretamente.
Aumento das ameaças cibernéticas em smartphones
O aumento do uso de smartphones no local de trabalho, tornou os dispositivos móveis os maiores alvos de ciberataques. Os crimes cibernéticos envolvendo dispositivos móveis aumentaram em 22% em relação ao ano anterior, de acordo com o Verizon Mobile Security Index (MSI) 2022.
Com o aperfeiçoamento dos ataques de hackers aos dispositivos móveis, a autenticação baseada em SMS se tornou menos segura. Mesmo empresas aparentemente mais seguras, como o Uber, sofreram violações de segurança envolvendo códigos de senha. Por isso, é preciso migrar para a autenticação multifatorial (MFA) que é mais segura.
Outro ponto essencial é tomar precauções extras para evitar ataques que iniciam na “linha de frente da empresa”. Como, por exemplo, implementando softwares que verificam a identidade do usuário de forma mais assertiva, inibindo ataques de engenharia social.
De acordo com o Relatório de Riscos Globais do Fórum Econômico Mundial 2022, 95% dos incidentes de segurança cibernética ocorreram devido a erro humano. Somente este fato enfatiza a necessidade de implantar procedimentos para diminuir a chance de erro humano.
Segurança redobrada na nuvem
Como mais empresas utilizando serviços em nuvem, cloud services, a segurança das informações que estão armazenadas em nuvem deve ser prioridade máxima em 2023.
A salvaguarda mais confiável contra os crimes cibernéticos nesse ambiente é a estratégia de confiança zero, zero trust. Esta estratégia de segurança de rede é baseada na filosofia de que nenhuma pessoa ou dispositivo, dentro ou fora da rede da organização, deve receber acesso para se conectar, a menos que seja explicitamente necessário. É uma medida de segurança crítica para proteger os dados e a infraestrutura armazenados na nuvem contra ameaças.
Ransomware[2] as a Service (RaaS)
Os ataques de ransomware continuam a crescer em ritmo alarmante. Um dos fatores que impulsiona este aumento é o uso de ransomware as a servisse (RaaS). Este fenômeno ocorre quando criminosos “alugam” sua infraestrutura de ransomware a outros criminosos. Esses “kits RaaS” tornam ainda mais fácil para os atacantes agirem de forma rápida e acessível.
Para proteger a empresa contra esses ataques, é importante treinar os colaboradores (usuários dos sistemas). Certifique-se que seus procedimentos de segurança cibernética estão claros e documentados, treine regularmente seus usuários para que estejam cientes das ameaças e vigilantes. Além disso, adote políticas de backup e uso de senhas, incluindo MFA sempre que possível, e ferramentas que melhorem a segurança do e-mail organizacional.
Leis de privacidade de dados
As leis de privacidade de dados estabelecem direitos aos titulares de dados e regulamentam como as organizações devem tratar os dados pessoais. Desta forma, é preciso que toda empresa reavalie sua forma de processar e armazenar os dados para estar em conformidade com a legislação. Não estar atento a tais mudanças, traz riscos à organização, incluindo prejuízos financeiros, consequência da aplicação de multas e sanções.
Certifique-se que a organização está aderindo as medidas de segurança apropriadas, como criptografia e confiança zero.
[1]Cadeia de suprimentos digital: cadeia que tem todos os seus processos geridos por meio de um software, integrando dados de vários setores. [2] Ransomware: tipo de malware de sequestro de dados, feito por meio de criptografia, que usa como refém arquivos pessoais da própria vítima e cobra resgate para restabelecer o acesso a estes arquivos.
FONTE: Cybercrime (and Security) - Predictions for 2023, The Hacker News.
Caso, tenha interesse em saber mais sobre como garantir a segurança da informação na sua organização, entre em contato conosco. Um dos treinamentos corporativos desenvolvidos pela Total Privacy, introdução à Segurança da Informação, tem o intuito de facilitar o entendimento sobre Segurança da Informação para profissionais que não possuem conhecimento sobre este assunto. Envie um e-mail para contato@totalprivacy.com.br.
Andressa Segantini
Consultora de Privacidade e Proteção de Dados Pessoais