No dia 19 de maio de 2022, o ITESCS promoveu a live “CiberSegurança para Negócios, como elevar o nível de proteção contra ataques: encontre os riscos, compreenda as consequências”. A abertura do evento ocorreu pelo vice-presidente do ITESCS, Luciano Calchi, e contou com a participação do CSO da empresa CyberSecOn, Luciano Moizio, para falar mais sobre o tema.
O profissional iniciou sua fala destacando a importância do assunto, pertinente e atual, que envolve ataque cibernético, criptografia de dados, cobranças de bitcoins para poder liberar processos das empresas afetadas, publicação de dados sensíveis das empresas (infringindo a LGDP), entre outras operações. Ao longo da palestra, destacou quais os vetores que causam esse tipo de ataque, como as empresas devem proceder com ações específicas e as direções, em termos de cibersegurança, que devem fazer para que estejam protegidas. “Cibersegurança não é um processo da empresa que você faz da noite pro dia, ela permeia pessoas, processos, tecnologia, cultura institucional, então tudo isso faz parte do processo de proteção”, reforçou.
Para contextualizar o assunto, foram apresentados dados do Fórum Econômico Mundial 2021. O relatório traz todos os riscos que podem ocorrer no mundo e causar diversos tipos de impacto em todas as áreas. Na área digital, o relatório destaca as falhas de cibersegurança, mostrando a abrangência e importância do assunto de forma global, afirmando que a tendência, infelizmente, é que isso ocorra cada vez mais.
O palestrante citou também o “digital power concentration”, a nossa crescente dependência do mundo digital, ou seja, do celular e seus serviços relacionados e os problemas que podemos ter quando há falhas. “Vimos uma parada no serviço do instagram, há algum tempo atrás, por um mês, o que já causou uma série de problemas até mesmo financeiros de pessoas que dependem desse produto, então vê-se que há uma concentração digital muito grande em cima de algumas soluções, que nos afetam diretamente quando interrompidos pelos ataques”, explicou Moizio.
Além disso, durante a palestra, foram apresentadas pesquisas e números, dentre elas, um estudo da Trend Micro Research Cyber Threat, que afirma que as empresas acreditam que há 80% de probabilidade de que irão sofrer um ou mais ataques cibernéticos bem sucedidos nos próximos 12 meses, seja ele direcionado especificamente à empresa ou de forma espalhada, coletando dados e divulgando-os sem controle. Outros dados apresentados (Trend Micro Research) mostram que, diariamente, “nascem” 350 mil ameaças exclusivas. Porém, não há ferramentas que consigam detectar todas essas ameaças para poder prevenir os ataques. A detecção e desenvolvimento de proteção/combate a novas ameaças levam tempo. Dessa forma, o risco sempre irá existir.
Moizio citou casos de empresas como a JBS, o laboratório Fleury e a Renner que tiveram ataques cibernéticos, que ocasionaram grande impacto financeiro, além do operacional e reputacional.
Ele apresentou um exemplo de um ataque real, por meio de phishing, que são e-mails atrativos, muitas vezes se passando por empresas, que quando o funcionário clica, baixa um artefato na máquina, que pode ser pego ou não, dependendo inclusive das ferramentas de proteção da empresa. Por meio desse material baixado no computador, o hacker tem acesso a dados da máquina, isso pode acontecer por meio de um único e-mail ou de vários (enviados em dias diferentes), com vários e-mails que vão baixando os artefatos e liberando os acessos.
Moizio mostrou as principais falhas das empresas por onde os ataques são feitos, como, por exemplo, softwares não atualizados; falta de duplo fator de autenticação; ambientes com privilégios e permissões aplicadas incorretamente; política de senha forte não ativada; portas e serviços abertos na internet; software não atualizado, entre outras. Após isso, trouxe dicas do que a empresa deve fazer para evitar essas invasões, (por meio de sua área de tecnologia ou empresa terceira que preste esse serviço), divididas nos seguintes grupos: controle de acesso; proteção de credenciais; gerenciamento de logs; antivírus; detecção de vulnerabilidades; além de gerenciamento de patches e atualizações, explicando cada um deles.
Finalizando a live, o profissional atendeu às perguntas de internautas e do Vice-Presidente do ITESCS.
Sobre a CyberSecOn: Consultoria de serviços especializados em segurança cibernética, constituída por profissionais com vasta experiência no mercado corporativo, atuando na identificação e mitigação de seus riscos cibernéticos para elevar o nível de segurança de seus ativos mais sensíveis e avaliar sua conformidade regulatória.
Sobre o palestrante: Luciano Moizio é CSO da empresa CyberSecOn, tem mais de 30 anos de atuação em grandes empresas de diferentes segmentos. Suas especialidades são: gerenciamento de serviços, operações em tecnologia da informação, cloud e transformação digital, especialista em cibersegurança. É graduado em Análise de Sistemas, com MBA em Gestão Empresarial pela FGV, mestrando em Segurança da Informação / UFABC).