Artigo
21/04/2023
Atualizado em 10/04/2026

O que o Conselho de Administração precisa saber sobre as ameaças cibernéticas emergentes e como se previnir?

Conselhos de administração devem conhecer ameaças cibernéticas emergentes como ransomware, DDoS, phishing, APTs e ataques à cadeia de suprimentos, adotando políticas e práticas para proteger ativos e garantir continuidade dos negócios.

Imagem de capa do artigo

Em um mundo cada vez mais conectado e dependente da tecnologia, a segurança cibernética tornou-se uma preocupação crítica para organizações de todos os tamanhos e setores, até porque as ameaças cibernéticas estão em constante evolução, com novos métodos de ataque sendo desenvolvidos e explorados por criminosos e agentes mal-intencionados.

Nesse sentido, é fundamental que os conselhos de administração das empresas estejam cientes dos riscos e das práticas de segurança cibernética, a fim de implementar estratégias eficazes de prevenção e resposta.

Os conselhos de administração têm a responsabilidade de proteger os ativos e informações da empresa, bem como garantir a continuidade dos negócios em face de potenciais ameaças cibernéticas. Por isto, é mesmo importante que tenham uma abordagem proativa e bem informada sobre a segurança cibernética, que permitirá que os conselheiros orientem e cobrem a empresa na adoção das melhores práticas e na implementação de soluções adequadas, minimizando os riscos e garantindo a conformidade com as regulamentações em vigor.

Queria então falar sobre algumas das principais ameaças cibernéticas emergentes, incluindo: o ransomware, ataques DDoS, phishing e engenharia social, APTs e ataques à cadeia de suprimentos, e vou tentar até para ilustrar melhor os riscos e os impactos com exemplos práticos desses ataques, e falar em como enfrentar esses desafios de segurança cibernética, devido à importância do envolvimento e da compreensão do conselho de administração no desenvolvimento e na supervisão das políticas e estratégias de segurança cibernética da empresa, garantindo uma postura de segurança robusta e resiliente.

Veja mais detalhes com exemplos práticos sobre algumas das ameaças cibernéticas emergentes:

1) Ransomware:

Ransomware é um tipo de malware que criptografa os dados do usuário e exige um resgate, geralmente em criptomoedas, para desbloquear os arquivos.

Um exemplo de um ataque de ransomware bem conhecido é o WannaCry, que afetou centenas de milhares de computadores em mais de 150 países. Para se proteger contra ransomware, as empresas devem implementar soluções de backup e recuperação de desastres, treinar os funcionários sobre como identificar e evitar e-mails de phishing e manter o software e sistemas atualizados.

No Brasil em 2021, o Tribunal de Justiça do Rio Grande do Sul (TJ-RS) foi vítima de um ataque de ransomware que paralisou seus sistemas e interrompeu os serviços judiciais. Os criminosos exigiram um resgate em criptomoedas para desbloquear os sistemas, mas o TJ-RS optou por não pagar e, em vez disso, trabalhar na recuperação de seus sistemas a partir de backups.

2) Ataques DDoS (Distributed Denial of Service):

Os ataques DDoS têm como objetivo sobrecarregar um servidor ou rede, tornando-os indisponíveis para os usuários legítimos. Isso é realizado inundando o alvo com tráfego de dados de uma rede de computadores comprometidos, chamada de botnet.

Um exemplo de ataque DDoS de alto perfil é o que ocorreu em 2016 contra a Dyn, um importante provedor de DNS, que levou à interrupção de muitos sites populares. A proteção contra ataques DDoS envolve a implantação de soluções de mitigação especializadas, como firewalls de próxima geração e sistemas de prevenção de intrusões (IPS).

No Brasil em 2020, o Procon-SP, órgão de defesa do consumidor do estado de São Paulo, sofreu um ataque DDoS que tirou do ar o seu site por várias horas. O ataque aconteceu justamente no momento em que muitos consumidores estavam registrando reclamações durante a Black Friday.

3) Phishing e Engenharia Social:

Phishing é uma técnica de engenharia social em que os atacantes se passam por uma entidade confiável para enganar os usuários e obter informações sensíveis, como credenciais de login e detalhes de pagamento.

Um exemplo prático de phishing é um e-mail falso que aparenta ser de um banco, solicitando que o usuário clique em um link e insira suas informações confidenciais. Para combater o phishing, as empresas devem treinar os funcionários para reconhecer e relatar tentativas de phishing, além de implementar filtros de e-mail e soluções de autenticação de dois fatores.

No Brasil em 2021, um ataque de phishing teve como alvo clientes de várias instituições financeiras. Os criminosos enviaram e-mails falsos se passando pelos bancos, solicitando que os clientes atualizassem seus dados cadastrais. Quando os usuários clicavam no link fornecido no e-mail, eram direcionados a um site falso que capturava suas informações pessoais e financeiras.

4) APTs (Advanced Persistent Threats):

APTs são ataques cibernéticos de longo prazo e altamente sofisticados, geralmente realizados por grupos de hackers patrocinados por Estados-nação. Esses atacantes visam roubar informações valiosas, como segredos comerciais e dados do governo.

Um exemplo de APT é o ataque Stuxnet, que visava infraestruturas críticas do Irã e causou danos significativos ao seu programa nuclear. A defesa contra APTs envolve monitoramento contínuo de redes e sistemas, segmentação de rede e implementação de políticas rigorosas de controle de acesso.

No Brasil em 2020, uma empresa brasileira de energia elétrica, a Eletronuclear, foi alvo de um ataque de APT. O ataque foi atribuído a um grupo cibercriminoso conhecido como Energetic Bear, suspeito de ser patrocinado pelo governo russo. Esse grupo é conhecido por atacar infraestruturas críticas em todo o mundo, incluindo usinas nucleares, redes elétricas e de água.

5) Ataques à Cadeia de Suprimentos:

Ataques à cadeia de suprimentos ocorrem quando os atacantes comprometem um fornecedor ou prestador de serviços confiável para acessar os sistemas e dados de uma organização-alvo.

Um exemplo notório é o ataque SolarWinds, onde os invasores comprometeram o software de gerenciamento de rede Orion, resultando no acesso não autorizado aos sistemas de várias agências governamentais dos EUA e empresas privadas. Para proteger-se contra ataques à cadeia de suprimentos, as empresas devem avaliar e monitorar regularmente a segurança de seus fornecedores, aplicar patches e atualizações.

No Brasil em 2021, a TOTVS, de desenvolvimento de software, foi vítima de um ataque à cadeia de suprimentos. Os invasores comprometeram um componente legítimo de um dos produtos da empresa, inserindo código malicioso que, uma vez instalado nos sistemas dos clientes, poderia ser usado para roubar informações ou lançar outros ataques. A TOTVS identificou e corrigiu rapidamente o problema, evitando impactos significativos aos seus clientes.

Para se proteger das ameaças cibernéticas listadas acima, e garantir a segurança da informação, o conselho de administração deve adotar uma série de medidas e seguir as melhores práticas. Aqui estão algumas das minhas recomendações:

1) Estabelecer uma política de segurança cibernética:

O conselho de administração deve pedir que seja desenvolvida e implementada uma política de segurança cibernética que cubra todos os aspectos da organização, incluindo a identificação e proteção de ativos de informação, detecção e resposta a incidentes e recuperação de desastres.

2) Designar um responsável pela segurança da informação (CISO):

Deve cobrar que seja designado um responsável para ser o Chief Information Security Officer (CISO), que será a pessoa que vai liderar a estratégia de segurança cibernética da empresa e garantir que as melhores práticas sejam seguidas em toda a organização.

3) Treinamento e conscientização:

Incentivar e cobrar que sejam feitos programas de treinamento e conscientização em segurança cibernética para todos os funcionários, garantindo que eles estejam cientes dos riscos e das práticas recomendadas para evitar ameaças como phishing e engenharia social.

4) Implementar medidas de segurança técnica:

Exigir que sejam adotadas soluções de segurança, como firewalls, sistemas de prevenção de intrusões, antivírus, criptografia e gerenciamento de acesso, para proteger os sistemas e dados da empresa contra ameaças cibernéticas.

5) Gerenciamento de vulnerabilidades e patches:

Ter certeza de que sejam estabelecidos processos contínuos para identificar, priorizar e corrigir vulnerabilidades nos sistemas e aplicativos da empresa, incluindo a aplicação regular de patches de segurança.

6) Monitoramento e resposta a incidentes:

Verificar se foram mesmo implementados sistemas e processos para monitorar continuamente os ambientes de TI em busca de sinais de atividades suspeitas e responder prontamente a incidentes de segurança, minimizando o impacto potencial.

7) Planejamento de recuperação de desastres e continuidade de negócios:

Exigir que sejam desenvolvidos e testados os planos de recuperação de desastres e continuidade de negócios para garantir que a empresa possa se recuperar rapidamente de um incidente de segurança cibernética e manter suas operações.

8) Gestão de riscos na cadeia de suprimentos:

Verificar se realmente está sendo avaliada e monitorada regularmente a postura de segurança cibernética dos fornecedores e parceiros da empresa, exigindo que eles sigam as melhores práticas de segurança e conformidade.

9) Conformidade regulatória:

Exigir e verificar que a empresa esteja em conformidade com as leis e regulamentações aplicáveis relacionadas à segurança cibernética e privacidade de dados.

10) Revisão e atualização regular:

O conselho de administração deve garantir que as políticas e práticas de segurança cibernética sejam revisadas e atualizadas regularmente para se adaptar às mudanças no cenário de ameaças e às necessidades da empresa.

Diante do cenário atual, onde ameaças cibernéticas se tornam cada vez mais sofisticadas e prevalentes, é fundamental que as empresas estejam preparadas para enfrentar esses desafios. O conselho de administração desempenha um papel crucial na orientação e supervisão das estratégias de segurança cibernética e na implementação de medidas para proteger a organização.

Ao adotar as melhores práticas e recomendações apresentadas acima, o conselho de administração pode garantir uma abordagem proativa e bem informada para a segurança cibernética, minimizando os riscos e impactos potenciais das ameaças emergentes. Ao estabelecer políticas robustas de segurança da informação, promover a conscientização dos funcionários e investir em soluções de segurança eficazes, a empresa estará melhor posicionada para enfrentar os desafios de segurança cibernética e garantir a continuidade dos negócios.

Por fim e não menos importante, pelo contrário, a segurança cibernética deve ser tratada como uma prioridade estratégica e um componente essencial da governança corporativa. O conselho de administração tem a responsabilidade de garantir que a empresa esteja preparada para enfrentar as ameaças cibernéticas e proteger seus ativos valiosos, reputação e a confiança de seus clientes e parceiros.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante