Cibersegurança: até onde estamos preparados no Brasil e na América Latina?

Cibersegurança é entendida como o conjunto de processos e estratégias cibernéticas que são executados para proteger sistemas, redes ou dispositivos contra qualquer ataque que possa ser realizado em uma organização; com o objetivo de roubar informações, ou acessar programas e sistemas privados. As razões pelas quais estes ataques são realizados são múltiplas e estão relacionadas a vários interesses, mas em grande parte são realizados por razões econômicas ou políticas.

Por esta razão, as organizações que lidam com dados sensíveis devem ter um sistema seguro a fim de estarem preparadas para as diversas ameaças. Portanto, existem normas regulamentares para que as empresas que trabalham com informações sensíveis cumpram com os requisitos quando prestam seus serviços. Caso contrário, elas podem ser multadas ou ser alvo de um ataque que prejudique sua reputação, finanças ou operações, especialmente agora que cada vez mais estratégias estão surgindo para vazar e conseguir um ataque cibernético.

Da mesma forma, uma das principais preocupações das nações da América Latina e Caribe tem sido a definição e criminalização do crime cibernético; e o Brasil, um dos países mais avançados em segurança cibernética e TI, aprovou o Marco Civil da Internet, que aborda questões como a proteção dos direitos fundamentais on-line, neutralidade da rede, responsabilidade dos intermediários, responsabilidades do setor público e retenção de dados, entre outras.

Cibersegurança nos bancos

Antes da pandemia, o mundo era um lugar muito diferente do que é hoje; os clientes dos bancos costumavam ir às agências e fazer compras físicas com mais frequência. Como resultado, os roubos tendiam a ser mais prevalecentes nas agências físicas dos bancos. Hoje, existem inúmeros métodos para acessar informações privadas e invadir contas ou realizar transações. E embora os usuários desempenhem um papel fundamental no cuidado com suas senhas e cartões bancários, as instituições financeiras devem obedecer a um sistema regulado pelas normas PCI, pois a melhor maneira de proteger chaves, senhas e ativos críticos é através dos Módulos de Segurança de Hardware (HSMs).

O HSM é um processador criptográfico que atua como âncora de confiança para proteger a infraestrutura criptográfica das maiores organizações do mundo, pois embora pareça uma caixa preta convencional, ele é altamente poderoso. Nelas, através de um host, é possível gerenciar, processar e armazenar chaves criptográficas de forma segura e resistente à adulteração. Existem diferentes tipos de HSM, cada um com funções especializadas de acordo com as necessidades de cada setor. No caso do HSM utilizado nos bancos, ele é capaz de operar dentro de um ecossistema emissor ou de um ecossistema adquirente.

O HSM trabalha para um ecossistema de emissão quando se concentra na preparação e criação de cartões de pagamento, tais como o fornecimento de fichas de pagamento móvel. Ou seja, ele gera as informações criptográficas que serão utilizadas na fabricação de cartões bancários. Enquanto, quando funciona dentro de um ecossistema de aquisição, é quando os usuários realizam transações bancárias, tais como fazer uma compra numa loja ou sacar dinheiro de um caixa eletrônico.

Mas em ambas as modalidades o que ele faz é criptografar ou decodificar as informações enviadas por meio de algoritmos criptográficos totalmente seguros. Como os HSMs são construídos para proteger chaves criptográficas, os grandes bancos e empresas muitas vezes têm vários HSMs funcionando simultaneamente. Enquanto isso, os sistemas de gerenciamento de chaves monitoram e atualizam essas chaves de acordo com as políticas internas de segurança e regulamentos externos, como o PCI.Devido a sua segurança e sua capacidade de lidar com múltiplas transações em tempo real de maneira segura, instituições financeiras como os bancos utilizam HSMs que estão em total conformidade com as normas e regulamentos PCI.

A educação em cibersegurança e a lacuna educacional

Em matéria de cibersegurança, a América Latina passou por uma profunda transformação na informação relacionada ao processamento de dados e serviços de computação em nuvem, mas, embora tenha se adaptado ao novo cenário, também transformou a natureza e as operações da criminalidade. De acordo com o Whitepaper da OEA 2020, “Cybersecurity Education”, o custo do crime cibernético na América Latina e no Caribe foi estimado entre US$15 bilhões e US$30 bilhões em 2017.

Portanto, o aumento dos riscos cibernéticos está forçando empresas e governos a integrar a cibersegurança em seus processos, na aquisição de tecnologia e na seleção de pessoal treinado, uma vez que, de acordo com o mesmo relatório em 2019, informou que 30% dos profissionais de cibersegurança eram profissionais fora desta área, e geralmente seus diplomas universitários estavam relacionados à engenharia e administração.

Houve avanços na América Latina e no Caribe em relação à proteção e segurança de dados, entretanto, uma estratégia de cibersegurança é essencial para qualquer organização, não importa o setor em que esteja localizada, todas as empresas gerenciam informações sensíveis. Portanto, uma estratégia criptográfica, juntamente com um planejamento cuidadoso das melhores práticas e um programa de cibersegurança, permitirá que as empresas e os funcionários se adaptem melhor às mudanças contínuas que surgem.

Santos Campa é vice-presidente regional da Futurex para a América Latina e o Caribe.