Cibersegurança: O problema não está na tecnologia; está no processo

“Se conversarmos com 10 CISOs, é provável que todos concordem com a seguinte afirmação: em se tratando de cibersegurança, os maiores desafios não se encontram na tecnologia, mas sim nos processos, nas falhas de controle e na gestão destes processos.” A afirmação é da sócia de TMT – Telecomunicações, Mídia e Tecnologia do Machado Meyer Advogados, Juliana Abrusio. Ela é especialista em direito digital e proteção de dados pessoais, incluindo segurança da informação. E os CISOs são diretores de segurança da informação, em outras palavras, um executivo sênior que supervisiona a segurança da informação, cibernética e tecnológica de uma organização.

“As pessoas envolvidas também desempenham um papel crucial nos incidentes e, muitas vezes, é necessário estabelecer ambientes ou processos que sejam à prova de erro humano. No entanto, mesmo assim, os processos podem falhar.”

Juliana concedeu a declaração no evento “Cibersegurança no Setor de Telecomunicações”, organizado pelo Machado Meyer. Importante destacar que a complexidade das operações em telecomunicações aumenta a superfície de ataque, tornando essencial a implementação de controles robustos e a manutenção de fluxos de trabalho bem definidos. Segundo Juliana Abrusio, a falta de clareza nos processos pode levar a brechas significativas, onde não apenas falhas tecnológicas, mas também decisões inadequadas ou tardias por parte das equipes de segurança podem resultar em graves incidentes de segurança.

Painel de cibersegurança

Além de Juliana Abrusio, o encontro, no dia 27 de maio, contou com a presença dos seguintes especialistas:

• Humberto Pontes, especialista em Regulação da Agência Nacional de Telecomunicações (Anatel), delegado brasileiro junto ao Mercosul e à União Internacional de Telecomunicações (UIT);
• Fernando Soares, diretor de Regulação e Inovação do Sindicato Nacional das Empresas de Telefonia e de Serviço Móvel, Celular e Pessoal (Conexis);
• Amanda Ferreira, Gerente Regulatório e Jurídico da Associação Brasileira das Prestadoras de Serviços de Telecomunicações Competitivas (TelComp);
• Larissa Fonseca, gerente de cibersegurança da Axur.
• Milene Louise Reneé Coscione, Sócia de TMT – Telecomunicações, Mídia e Tecnologia do Machado Meyer.

Cibersegurança em telecomunicações

Em sua explanação, Humberto Pontes explicou que a Anatel é a única agência reguladora que integra o Comitê Nacional de Cibersegurança. Ele comentou que o termo “segurança cibernética” alarma as pessoas, pois muitas vezes as associam a incidentes graves, como ataques hackers ou vazamentos de dados.

E então afirmou: “O que se refere ao cibernético diz respeito a tudo que permeia a internet, o mundo virtual e, em breve, o metaverso e outras dimensões que ainda não conseguimos conceber. Cibernético, internet, tudo está interligado; os celulares, hoje em dia, possibilitam acesso por meio de relógios, e, em breve, provavelmente será possível acessar através de óculos. A conexão direta pela mente já está em fase de teste e quase operacional”.

Outubro Cyberseguro

No que diz respeito aos alinhamentos estratégicos da Anatel, são duas as iniciativas específicas focadas em cibersegurança. A primeira promove a gestão de risco de forma holística e a proteção de infraestruturas críticas. Em segundo lugar está o cuidado da prevenção contra fraudes. Para exemplificar, está a campanha Outubro Cyberseguro. Essa campanha visa conscientizar a população sobre a importância da segurança online, promovendo boas práticas de navegação e a proteção de dados pessoais.

Durante o mês de outubro, diversas ações educativas são realizadas, incluindo webinars, workshops e campanhas nas mídias sociais. “O que almejamos aqui é a redução de fraudes e estelionatos digitais, bem como o aumento da confiança dos usuários na tecnologia. Todos esses aspectos estão centrados no conceito de ‘conectividade significativa‘.”

Os setores que mais sofrem ataque cibernético

Na ocasião, os painelistas comentaram sobre uma pesquisa da CrowdStrike, que trouxe os dez setores mais impactados por falha em seu sistema de segurança. São eles:

• Saúde: Perdas estimadas em US$ 1,94 bilhões.

• Bancos: Perdas estimadas em US$ 1,15 bilhões.

• Companhias aéreas: Perdas estimadas em US$ 860 milhões.

• Serviços de TI e software: Perdas estimadas em US$ 560 milhões.

• Varejo: Perdas estimadas em US$ 470 milhões.

• Outros: Perdas estimadas em US$ 190 milhões.

• Setor financeiro: Perdas estimadas em US$ 140 milhões.

• Transporte: Perdas estimadas em US$ 70 milhões.

• Indústria: Perdas estimadas em US$ 40 milhões.

Os custos da insegurança cibernética

Outro relatório – do Instituto Ponemon em parceria com a IBM, no ano passado, mostrou que o custo dos incidentes no Brasil foi de 6,75 milhões de reais, representando o custo médio da violação de dados em 2024. No entanto, se todos os responsáveis implementassem os controles preventivos, a economia poderia chegar a até 2,22 milhões. Juliana Abrusio enfatizou que, quanto mais tecnologia é incorporada, mais serviços digitais e sistemas são implementados. Por consequência, isso amplia o perímetro e o ambiente propenso a vulnerabilidades. “O que nos leva a um dilema de causalidade. Temos um aumento no número de ataques, o que gera mais tecnologia visando corrigir as falhas.”

Fernando Soares, diretor de Regulação e Inovação, apresentou o seguinte dado :em todo o mundo, apenas 3% das empresas estão “maduras” para lidar com ataques cibernéticos. A maioria (60%) está em desenvolvimento; e 26% em nível avançado. Ao todo, 11% são iniciantes. Em síntese, os números revelam uma realidade alarmante sobre a vulnerabilidade das organizações em relação à segurança cibernética.

Resolução Anatel nº 767/2024

Em síntese, a Resolução Anatel nº 767/2024 determina que as operadoras de telecomunicações, prestadoras de serviços de internet e outras entidades relacionadas à comunicação sigam normas rigorosas de segurança cibernética. Esta resolução estabelece diretrizes claras para a proteção de dados e informações dos usuários, reforçando a necessidade de medidas preventivas contra ataques e vulnerabilidades. Ademais, a normativa enfatiza a importância de um planejamento adequado de resposta a incidentes, o que inclui a identificação, contenção e recuperação em caso de um ataque. Isso significa que as empresas de telecomunicações devem estar preparadas não apenas para evitar problemas, mas também para reagir de forma rápida e eficiente em situações emergenciais.

Outro aspecto relevante da Resolução Anatel nº 767 é a exigência de capacitação contínua das equipes responsáveis pela segurança da informação. A ideia é fortalecer a confiança dos consumidores, e também promover uma cultura de segurança entre todos os envolvidos.

Melhorias dos processos

Em outras palavras, a melhoria contínua dos processos e sistemas de segurança é o pilar fundamental da Resolução. “As empresas devem revisar periodicamente suas práticas e adaptar-se às novas realidades do ambiente cibernético, garantindo que atualizem e tornem suas defesas eficazes. A adoção dessas práticas não só ajuda a mitigar riscos, mas também demonstra um compromisso com a segurança dos usuários e a integridade da infraestrutura de telecomunicações no Brasil”, disse Milene.

Nas palavras de Amanda, a Associação de Prestadores de Serviços de Telecomunicações Competitivas reúne cerca de 60 empresas do setor, incluindo operadoras de infraestrutura crítica, data centers, segmentos B2B e B2C, além de Mobile Virtual Network Operator (MVNOs) – Operadora Móvel de Rede Virtual, em português. Fundada há 25 anos, a associação representa os interesses de seus membros na Anatel e outras instâncias regulatórias, envolvendo-se em questões de cibersegurança.

Em sua fala, ela destacou a experiência da entidade em exercícios de cibersegurança como um incidente em 2021 relacionado a cabos submarinos, por exemplo. “A associação busca mitigar custos e garantir a conformidade com normas cibernéticas, reconhecendo a necessidade de estar sempre à frente das ameaças, um desafio contínuo no mercado.”

Fraudes e segurança

Larissa Fonseca, gerente de cibersegurança da Axur, declarou que a fraude está intimamente ligada aos ataques cibernéticos cotidianos. E, muitas vezes, pode ser mais fácil de realizar do que diversos ataques digitais, como malware ou ransomware, pois não requer acesso interno à empresa. Só para exemplificar, ela citou o caso do Enem, onde foram criados boletos e centrais de inscrição falsas, enganando candidatos e desviando valores de inscrição. “Esses casos demonstram como a engenharia social pode ter um grande impacto, mesmo quando os valores envolvidos são considerados baixos.”

A porta-voz da Axur evidenciou ainda o quanto a padronização dos processos contribui significativamente para uma comunicação mais eficaz sobre incidentes. “Nesse contexto, a colaboração se torna essencial. Assim como uma empresa deve estabelecer uma comunicação interna para discutir fraudes e questões de segurança cibernética, tornando esses tópicos visíveis para a liderança, as empresas do setor também precisam se conectar e compreender o que está ocorrendo.”

Outros insights do evento

• A Anatel está atuando com foco em três pilares principais para aumentar a resiliência e maturidade do setor de telecomunicações em relação à cibersegurança: regulamentação, conformidade e homologação, e conscientização. 

• Grande parte do problema reside na cadeia de suprimentos. O Seller Risk Assessment (Avaliação de Risco de Fornecedor) deve ser realizado. “Dentro da empresa, tentamos controlar o que está em nosso domínio, mas no que diz respeito a terceiros, a situação é diferente. Contudo, dentro dessa cadeia, existe uma responsabilidade legal que deve ser considerada. Observamos que as empresas enfrentam muita dificuldade na elaboração de políticas. Embora redigir uma política não seja complicado, o desafio reside na implementação dos processos”, relatou Juliana.

• A Inteligência Artificial, por si só, não resolverá a situação. Pode-se pegar toda a Resolução da Anatel e gerar uma política de segurança exemplar, mas a questão principal é: o que está sendo feito de concreto? Dessa forma, além de criar regras, é essencial promover conscientização.

• É preciso ter um propósito claro: compreender que, muitas vezes, os recursos financeiros são limitados e que há diversas áreas que requerem atenção é vital. Aquela área relacionada à segurança cibernética, que pode parecer menos prioritária, é, na verdade, um ponto que pode resultar em uma lacuna irreparável dentro da sua empresa.

• Há preocupações das empresas menores quanto aos custos e impactos das obrigações de cibersegurança. E, por fim, foi destacada a necessidade de encontrar um equilíbrio entre o cumprimento regulatório e a viabilidade operacional das empresas.

Prêmio Consumidor Moderno 2025

A votação para as categorias especiais do Prêmio Consumidor Moderno de Excelência em Serviços ao Cliente 2025 está aberta. Você pode definir quem serão os grandes nomes da edição. O CEO do Ano reconhece a liderança e a visão estratégica de executivos no topo. Por consequência, na categoria Hall da Fama, são homenageados os líderes com visão, estratégia e impacto positivo nas relações com clientes. Já o prêmio de Empresa do Ano valoriza as organizações que realmente fizeram a diferença na experiência do consumidor. Clique aqui e faça a sua escolha. A votação foi prorrogada até 16 de junho.