Prevenção essencial: a cibersegurança nunca foi tão importante

Sep 21, 2023

Arte de OYOW

O regulador de pensões do Reino Unido, o grupo regulador que protege as pensões no local de trabalho, notificou no início deste ano mais de 300 planos de pensões de que seus planos podem ter sido comprometidos por uma violação de dados na Capita, com sede em Londres, um administrador terceirizado dos planos. . Embora pareça que nenhum dado do participante foi afetado, uma investigação está em andamento. A Capita possui dados sobre centenas de milhares de participantes de planos de pensão no Reino Unido, e o impacto potencial de uma violação é significativo.

O ataque – e outro nos EUA contra a plataforma de portabilidade de contas de aposentadoria The Retirement Clearinghouse, ocorrido em março – destaca a necessidade de investidores institucionais prestarem atenção especial à segurança cibernética, não apenas internamente, mas também em fornecedores e em seus investimentos.

Os ataques cibernéticos estão aumentando, e alocadores, investidores e planos de aposentadoria são alvos de alto valor. A maneira como os adversários visam as organizações também está se tornando mais sofisticada. Em alguns casos, as organizações podem nem saber que seus sistemas estão comprometidos se um invasor enganar alguém para fornecer informações voluntariamente.

Os reguladores financeiros estão tentando acompanhar a ameaça crescente: nos EUA, a Comissão de Valores Mobiliários e o Departamento do Trabalho emitiram recentemente novas diretrizes e propostas de segurança cibernética para alocadores, gerentes de ativos e corretoras/distribuidoras.

Quando se trata de segurança cibernética, os investidores institucionais precisam pensar em vários níveis. Internamente, a própria organização deve ser protegida e seus funcionários treinados para minimizar as vulnerabilidades. No nível do fornecedor, os alocadores tendem a se agrupar nos mesmos fornecedores, e essa tendência pode funcionar contra eles, como no Capita, se todos enfrentarem o mesmo ataque ao mesmo tempo. Finalmente, os alocadores precisam considerar o risco em termos de devida diligência em seus investimentos.

"A questão, até o momento, tem sido mal analisada como uma questão técnica/operacional", disse Larry Clinton, presidente e CEO da Internet Security Alliance, com sede em Washington, falando no The Forum by CIO em maio. A segurança cibernética "é uma questão de gerenciamento de risco em toda a empresa".

Nas operações do dia-a-dia, as práticas de segurança cibernética são frequentemente difamadas. Todo mundo conhece e odeia o processo de ter uma senha "forte" de 14 caracteres impossível de lembrar, receber uma mensagem de texto com um código e dizer a um robô que você não é um robô antes de finalmente poder fazer o login. A biometria pode ser mais fácil, mas alguém realmente deseja fornecer dados biométricos a um empregador?

Assim, todos acabam voltando para a senha, código, quebra-cabeça, login. Mesmo com tudo isso, dados da PwC dizem que apenas 14% das empresas passaram pelos últimos três anos sem uma violação de dados. Perry Carpenter, diretor de estratégia da empresa de treinamento em segurança cibernética KnowBe4, diz que grande parte do problema está na abordagem da segurança cibernética.

"Tudo o que temos a fazer é olhar em volta e ver que este não é um problema resolvido de forma alguma", diz ele. "Muitos de nossos procedimentos funcionam contra a natureza humana e fazem com que as pessoas desistam. Muitas vezes, as organizações não investem na atualização regular e na correção de sistemas, o que as torna vulneráveis. nível, você pode impedir 90% dos ataques."

De acordo com Carpenter, trabalhar "no nível humano" envolve mais do que treinamento básico de segurança cibernética que lembra as pessoas de tomar cuidado com e-mails de phishing; também inclui pensar nas várias maneiras pelas quais as pessoas acessam os sistemas e tornar o ambiente o mais fácil possível para proteger esse ambiente.

"Amontoar degraus nas pessoas vai fazê-los procurar maneiras de contorná-los", explica ele. "Assim que o fizerem, eles ficarão felizes, mas também acabaram de encontrar uma vulnerabilidade em seu sistema. É provável que os adversários tenham ou também a encontrem."

Carpenter acrescenta que os tecnólogos tendem a pensar que a nova tecnologia resolverá tudo. A equipe de segurança cibernética pode se concentrar em obter a mais nova tecnologia de segurança, mas isso significa que os sistemas antigos estão ficando obsoletos, criando novos pontos de entrada para adversários digitais. "O patch é uma prática importante, porque basta um ponto de entrada e um sistema pode ser comprometido", diz Carpenter. "Você pode esperar que o novo sistema o detecte, mas geralmente não o faz até que seja tarde demais."