Culturalmente falando, se preocupar com segurança da informação nunca foi algo comum para as empresas brasileiras.
Com exceção de multinacionais que possuem filiais aqui, o mercado nacional, no geral, sempre investiu muito pouco em soluções, serviços e processos para garantir a proteção de dados sigilosos, sejam eles corporativos ou referentes aos seus clientes. Justificar a compra de uma solução de segurança cibernética frente ao board de diretores era um verdadeiro parto para os profissionais do setor.
Isso acontece porque sempre foi difícil calcular o ROI (return over investment ou "retorno sobre o investimento") para tal área, já que estamos falando de medidas preventivas. Muitos executivos de alto escalão consideravam uma “besteira” gastar dinheiro para evitar algo que nem sabemos se vai acontecer ou não. Por bem ou por mal, a mentalidade dos diretores, presidentes e gerentes está mudando, sobretudo após o aumento no número de ataques cibernéticos que vislumbramos ao longo dos últimos anos.
Se nas décadas anteriores apenas marcas de renome precisavam se preocupar com malwares ou espionagem cibernética, hoje em dia, os criminosos estão mirando até mesmo em pequenas e médias empresas (PMEs), sabendo que elas não possuem uma boa infraestrutura de segurança. Os ransomwares se tornaram comuns, e, além de causar dores de cabeça à quem não tem backups para garantir a continuidade de seus negócios, pode resultar em extorsões com ameaças de divulgação de dados sensíveis.
Para completar o pacote, temos agora a Lei Geral de Proteção de Dados (LGPD), que põe no âmbito jurídico a obrigatoriedade de toda e qualquer empresa brasileira de garantir a proteção das informações pessoais de seus consumidores. Quem desrespeitar a norma — seja usando dados sem o consentimento de seu titular ou sofrendo vazamentos/violações — pode ser punido com sanções diversas, que variam desde a proibição de suas atividades de processamento de databases (leve) até multas de R$ 50 milhões (pesada).
Existem diversas formas pelas quais sua empresa pode sofrer um incidente de segurança da informação. Porém, se você está criando — ou reestruturando — a sua estratégia de proteção de dados agora, existem algumas ameaças bem específicas que merecem sua atenção. Vamos listar seis riscos à informação que são críticos em qualquer empreendimento — e, é claro, também daremos algumas instruções de como sua empresa pode prosseguir para evitar ser mais uma vítima.
1) Exploração de vulnerabilidades
Uma vulnerabilidade em um software nada mais é do que um “defeito” em seu código que pode ser explorado por um criminoso para transformá-lo em uma porta de entrada, sendo usado para invadir máquinas, instalar malwares de espionagem ou infectar seu sistema com um ransomware. Algumas são de conhecimento público; aquelas que são exploradas sem que seu desenvolvedor saiba de sua existência são chamadas de zero day (ou "dia-zero").
Não há muitos segredos aqui — a melhor forma de garantir que sua infraestrutura não possua brechas é mantendo todos os programas, softwares e sistemas operacionais sempre atualizados, instalando os patches de segurança disponibilizados por seus respectivos desenvolvedores. Essa tarefa se tornou desafiadora em tempos de trabalho remoto, mas vale a pena ressaltar tal tópico com seus colaboradores que atuam em casa.
2) Insider malicioso
Em segurança da informação, chamamos de insider malicioso (ou simplesmente ameaça interna) aquele colaborador que, por algum motivo, decide agir contra a própria empresa, tornando-se um criminoso ao repassar informações internas para um concorrente ou copiar dados sensíveis antes de ser desligado, por exemplo. Geralmente, esses funcionários se tornam insiders maliciosos por questões financeiras, sendo pagos por agentes externos.
Obviamente, não há como prever se algum membro de sua equipe poderá lhe “trair” futuramente. Para evitar violações por insiders, é importante garantir a correta classificação de níveis de sensibilidade de cada informação e permitir seu acesso (privilégio) apenas à quem realmente você confia. Um bom exemplo disso são documentos do Google Docs; jamais devemos configurar um arquivo sigiloso para que toda a empresa possa visualizar.
3) Má-configuração
Você com certeza já leu notícias de vazamentos de dados ocasionados por má-configuração em servidores, sejam eles on-premise (locais) ou na nuvem. Trata-se de algo mais comum do que muitos imaginam: seja por falta de mão-de-obra qualificada ou por um simples deslize na hora de realizar seu projeto, configurar erroneamente um ambiente web pode permitir que indivíduos não-autorizados tenham acesso a dados sigilosos.
Para evitar esse tipo de problema, é válido contratar serviços de auditoria e red team — ou seja, uma equipe que analisará suas infraestruturas em busca de eventuais brechas desse tipo sob a perspectiva de um criminoso cibernético. Dessa forma, você consegue descobrir se há algo de errado com os seus ambientes de processamento e armazenamento de dados antes dos agentes maliciosos, agindo proativamente para corrigir as brechas.
4) Terceiros e parceiros comerciais
Nenhuma empresa atua 100% sozinha. Seu empreendimento certamente conta com parceiros comerciais, fornecedores e serviços terceirizados — até mesmo um software-as-a-service (SaaS), que você contratou mediante o pagamento de uma mensalidade, entra nesse rol. E se o incidente de segurança partir desses parceiros com os quais você compartilha ou armazena dados sensíveis?
Eis a importância de realizar uma diligência prévia, analisando a infraestrutura de segurança de terceiros e contratando apenas quem provar que também se importa com segurança da informação. Quando o assunto são os SaaS, a maioria deles trabalha, hoje em dia, no modelo de responsabilidade compartilhada — eles se responsabilizam por incidentes causados por falha no software e você se responsabiliza por configurações errôneas.
5) Engenharia social
De nada adianta investir rios de dinheiro em soluções de segurança se os seus colaboradores não estiverem devidamente treinados para identificar ameaças de engenharia social — ou seja, golpes que manipulam os sentimentos e emoções do ser humano, convencendo-os a adotar um comportamento inseguro.
É por isso que a sua equipe precisa ser treinada com programas de conscientização em segurança da informação. Campanhas educacionais fazem com que seus funcionários se transformem na linha de frente em sua estratégia de proteção de dados, identificando, por exemplo, campanhas de phishing direcionadas (spear phishing) e reportando eventuais riscos à equipe de TI.
6) Violação física
Muitos gestores cometem o erro de se esquecer desse tipo de ameaça, já que, atualmente, as operações da maioria das empresas se concentram no ambiente online. Porém, não podemos descuidar dos riscos de uma violação física — um agente malicioso pode entrar em seu escritório e obter acesso a documentos sigilosos impressos, aos seus servidores locais ou às máquinas dos colaboradores.
Por isso, invista em uma política de mesa limpa, utilize meios seguros de descartar informações impressas e fortaleça a segurança física de seu escritório, caso tenha um.
Precisando de ajuda com a segurança de dados de sua empresa?
Estamos aqui pra te ajudar. Entre em contato.
Fonte: canaltech