Resiliência cibernética: a estratégia da Natura (NTCO3) para se antecipar a eventuais ataques

Vítima em 2020, a companhia do setor de beleza aposta na resiliência para mudar cultura empresarial e conduz ataques simulados para se proteger

Wesley Santana

Publicidade

O mundo digital passou por mudanças complexas nos últimos anos, especialmente depois da pandemia, quando mais pessoas foram inseridas no ambiente virtual. As empresas, portanto, tiveram que adequar suas estruturas para esse salto de comportamento, apostando na resiliência cibernética, seja para receber novos consumidores ou para permitir que os funcionários pudessem trabalhar remotamente com segurança.

Também conhecido como ‘ciber-resiliência’, o termo se refere à capacidade de uma empresa se antever a uma ação criminosa, usando ferramentas disponíveis no mercado ou criando suas próprias plataformas para se proteger de ataques hackers. De forma ampla, sendo resiliente, a empresa consegue institucionalizar tanto a proteção quanto a resposta às invasões.

Um relatório anual divulgado pela empresa de cibersegurança Tempest mostrou que 69% das corporações têm olhado para esse tema, aumentando seus investimentos na área. A média de acréscimo em 2022, segundo as companhias entrevistadas, ficou entre 6% e 20%, a depender do porte e do faturamento. Em relação aos gastos de TI, 11% delas destinam até 20% exclusivamente para segurança digital, enquanto esse índice chega a 22% no setor financeiro.

Continua depois da publicidade

Esses números são possíveis porque o setor de tecnologia se mobilizou para mudar uma cultura corporativa que, antes, se limitava a discutir os ataques depois que eles aconteciam. A pesquisa mostra, então, que 73% das empresas já têm ou planejam ter comitês para tratar questões de cibersegurança e outras 53% colocaram os chefes dessa área dentro dos conselhos de administração na tentativa de discutir o tema entre os principais executivos.

Um exemplo emblemático deste tipo de mudança de cultura vem da Natura (NTCO3), que, em junho de 2020, sofreu um ataque hacker que lhe rendeu um prejuízo superior a R$ 450 milhões, conforme balanço divulgado pela própria companhia na época. A invasão foi tão grave que interrompeu temporariamente a operação da Avon, marca que havia sido comprada poucos meses antes.

Passados quase dois anos, a Business Information Security Officer, Claudia Fukasawa, destaca que a empresa já não trabalha com a hipótese de ser atacada novamente, mas com o entendimento de que tentativas podem acontecer a qualquer momento. Ela diz que, amparada nesse conceito de resiliência, sua principal tarefa tem sido mostrar como os riscos de um ciberataque é também uma ameaça para os negócios.

Continua depois da publicidade

“Quando se passa por operações comerciais relevantes, como é o caso da black friday, é importante mostrar aos executivos não o volume de tráfego malicioso que conseguimos conter. O ideal é falar de quanto dinheiro a empresa deixou de perder por conta dos bloqueios. É traduzir o tecniquês de quantos ataques para a linguagem de negócios”, pontua.

Simular para antever

Ser pego de surpresa não pode ser uma estratégia das empresas e, por isso, existem ferramentas para se antecipar aos ataques criminosos. Uma das etapas do ciclo de resiliência é a simulação de invasão digital, uma prática orquestrada pela própria companhia com o objetivo de verificar possíveis portas de entrada ou vulnerabilidades por onde os hackers possam acessar os sistemas internos.

Fazendo um paralelo com a vida real, conforme define Cristiano Lincoln Mattos, CEO da Tempest, esse teste funciona como um simulado de incêndio, quando são testados todos os procedimentos de segurança. O exercício serve para munir todos os profissionais de informações suficientes para enfrentar uma situação real de forma coordenada.

Continua depois da publicidade

“O teste coloca as pessoas na situação, do mesmo jeito que elas precisam descer pelas escadas de incêndio em uma simulação. Isso é importante para conter um incidente cibernético, visto que poucas coisas são tão estressantes quanto estar em uma sala de guerra de um ataque de ransomware [sequestro de dados], por exemplo. Viver aquilo, mesmo que de forma simulada, ajuda muito a executar o plano de ação”.

O profissional destaca, ainda, a importância deste tipo de ferramenta no contexto que envolve outros setores além da tecnologia, já que pode ter impactos profundos e sensíveis nos diversos âmbitos do negócio.

“A primeira coisa a saber é quem deve estar na sala, e não é só o pessoal de tecnologia. Em um ataque hacker, você tem uma questão jurídica, de comunicação com o mercado, de atendimento aos clientes e até de regulação, dependendo do setor. A partir disso, você tem um processo para determinar o que é mais crítico para o negócio e quais são as prioridades. Se você não sabe dessas questões previamente, você tem um grande problema”, avalia.

Continua depois da publicidade

Resiliência se estende aos fornecedores

Na semana passada, os usuários da Deezer tiveram seus dados vazados em razão de uma falha de segurança de um antigo fornecedor da marca. A plataforma de streaming musical nem sequer tem mais contrato com a empresa em questão, mas as informações de milhões de usuários foram comprometidas pela invasão hacker.

Por isso, ter atenção ao modo como os parceiros tratam a questão de cibersegurança é também responsabilidade da parte que contrata os serviços, o que inclui acompanhar e, em muitos casos, até dar suporte aos processos que permeiam a cadeia de fornecedores.

“Os desafios são potencializados quando se pensa na cadeia de suprimentos, porque dá para ter o controle em relação ao que está sob nossa gestão, mas nem sempre quando as fragilidades estão do lado do nosso parceiro. É importante envolvê-lo no processo, em um trabalho conjunto, para que ambos os lados estejam cientes das suas responsabilidades durante o tratamento e o compartilhamento dos dados”, destaca Claudia, da Natura.

Continua depois da publicidade

Ela pontua, ainda, que o contato entre os parceiros deve ser permanente, durante e após a vigência dos contratos. “Todas as empresas têm suas vulnerabilidades, mas a forma como é feita a gestão faz toda a diferença na probabilidade de um risco se materializar”.