A chave para contenção de ataques é a velocidade do tempo de resposta a ameaças

O impacto de um ataque cibernético é medido pelo tempo que um invasor permanece nos sistemas de uma empresa sem ser notado. Quanto mais tempo dentro de um ambiente, mais acesso a sistemas críticos. Portanto, a chave para contenção de ataques é a velocidade do tempo de resposta ao incidente. Algumas horas são suficientes para que o prejuízo de uma violação detectada e corrigida passe de uma simples reiniciação do sistema operacional, para uma perda de receita de seis dígitos.

Apesar desses dados serem divulgados todos os anos, a maioria das organizações ainda leva meses para identificar e conter um ataque. Esse tempo – chamado de dwell time, ou tempo de permanência – foi de 280 dias em 2020. Só no Brasil, o custo médio de cada violação de dados foi de 1,4 milhões de dólares (cerca de 7 milhões de reais, atualmente). Já as empresas que foram capazes de detectar e conter uma brecha em menos de 200 dias, gastaram em média US$ 1 milhão a menos. Os dados são do relatório da IBM e do Ponemon Institute.

Por que violações passam despercebidas?

Em uma situação ideal, uma empresa teria uma equipe de detecção e resposta cibernética dedicada a monitorar e responder a qualquer alerta. Esse time avaliaria imediatamente o status da ameaça atual e trabalharia a partir de uma série de políticas para tomar as medidas adequadas com base na natureza e no status do ataque. Haveria protocolos de resposta claros para gravidade de incidente alta, média e baixa. As pessoas que respondem a incidentes teriam inteligência contra ameaças e saberiam precisamente o que fazer com antecedência.

Mas a realidade nas empresas está longe disso. O time responsável pela TI costuma fazer a manutenção da tecnologia de segurança adquirida, mas não o monitoramento e resposta. Não existe um plano de proteção estabelecido e disseminado por toda a organização. E quando há, falta treinamento e comunicação a respeito do papel de cada um na execução desse plano.

Como diminuir o tempo de resposta a ameaças?

Há orientações gerais que servem para toda empresa. Sabe-se que é importante investir em ferramentas de automação de segurança e soluções abrangentes de segurança cibernética. Também, implementar programas de treinamento para todos os funcionários para combater golpes de phishing e outras táticas comuns de hackers. Mas, não basta.

Elevar o nível de proteção exige um parceiro de inteligência de segurança. Com ele, a organização consegue ter previsibilidade. A partir de inteligência, a postura deixa de ser reativa para ser proativa. Isso vem antes da proteção. Pois os riscos são buscados e antecipados.

Na prática, um parceiro de inteligência cibernética não irá esperar pelo ataque acontecer. Irá procurar, dentro do sistema da empresa ou na internet, publicações de informações sensíveis, espionagem cibernética, mau comportamento no ambiente virtual de pessoas ligadas à corporação, referências fraudulentas e maliciosas à marca em sites falsos, vazamento de informações sigilosas, como cartões de crédito de clientes e parceiros, entre outras ameaças.

Quase 40% do custo total médio de uma violação de dados decorre de negócios perdidos, incluindo aumento da rotatividade de clientes e perda de receita devido ao tempo de inatividade do sistema. Além disso, cerca de 61% do custo surgem no primeiro ano, cerca de 24% nos próximos 12 a 24 meses, e os 15% finais, mais de dois anos depois. O custo de não proteger está cada vez mais alto. Portanto, em empresas que querem atuar em um mundo hiperconectado, a proteção precisa ser parte da estratégia, assegurando o sigilo das informações e facilitando os negócios.

Por Dirceu Lippi