Quando pensamos na proteção dos dados de uma empresa, muitas vezes esquecemos de considerar questões básicas que podem desencadear uma série de dores de cabeça para uma organização. “Hoje em dia, ainda é comum nos depararmos com companhias que estão investindo alto em tecnologia, mas negligenciando medidas simples como a falta de controle no acesso à internet, criptografia de e-mails e concessão de privilégios aos usuários dos sistemas”, diz Wander Menezes, especialista em segurança da informação do Arcon Labs.
Para ele, a preocupação em combater novas ameaças, algumas vezes, faz com que a companhia fique em dúvida na hora de priorizar os ativos de TI que devem ser monitorados. “Uma ameaça persistente avançada (APT), cujo objetivo é atingir computadores específicos com algum tipo de informação valiosa, geralmente pode decorrer de falhas básicas de segurança, como o simples controle de um e-mail”, alerta.
Outro ponto, levantado por pesquisa recente da Intel Security, é o desconhecimento dos profissionais brasileiros sobre os riscos da segurança cibernética. De acordo com o relatório, 46% dos entrevistados acreditam que os ataques têm se tornado bem-sucedidos devido, principalmente, à falta de conhecimento do usuário brasileiro sobre as ciberameaças. Confira a seguir três medidas que devem estar na lista de atenção das organizações:
1. Todos podem ser alvo de ataque
“O atacante normalmente tentará agir pelo elo mais fraco da cadeia para ter mais chances de sucesso”, simplifica Menezes. De acordo com a Pesquisa Global sobre Segurança da Informação 2015 da PwC, os funcionários internos foram os mais citados entre os responsáveis por incidentes. Entre 2013 e 2014, a porcentagem cresceu 10%. “Isso não quer dizer que todos os colaboradores possuem comportamentos maliciosos. No entanto, eles podem, sem querer, comprometer a perda de dados por meio de dispositivos móveis ou ser alvo de esquemas de phishing – prática em que os atacantes têm o objetivo de ‘pescar’ informações e dados pessoais importantes por meio de mensagens falsas”, pontua o especialista. Um hacker pode, em vez de atacar diretamente o CEO, focar em usuários mais “comuns” da empresa, que provavelmente não possuem informações valiosas, mas que compartilham a mesma rede, sendo usados como trampolim para o objetivo final. “Por isso, a concessão de privilégios e acessos livres dos usuários às redes não é aconselhável”, sintetiza.
2. De olho nos terceiros
Além dos funcionários, a atenção sobre os prestadores de serviços também deve estar em pauta. “A segurança da informação é feita em camadas e o fator humano desempenha um papel fundamental, tanto para o bem quanto para o mal”, afirma Menezes. Entre as medidas básicas, uma organização deve aplicar suas políticas de segurança a todos. Para o especialista, é necessário acompanhar a conduta dos terceiros para garantir que se comprometam com a proteção das informações, respeitando as políticas corporativas de segurança.
3. Programas de conscientização
A conscientização contínua sobre as políticas de segurança é um dos passos para sua aplicação. Para gerar a sensibilização por parte de toda a empresa, que resultará numa maior contribuição para a segurança eficaz, o compromisso com as políticas de proteção de dados deve ocorrer em todas as esferas e departamentos. “Simplesmente publicá-la na intranet não vai resolver. É recomendável que sejam estabelecidos programas de treinamento, reuniões e comunicações regulares”, completa Menezes. A segurança da informação de uma empresa é responsabilidade de todos.
E por falar em ataques… |
Estudo da IBM e do Instituto Ponemon revela que a maior parte dos ataques ocorre por hackers e informantes infiltrados. No Brasil, nos últimos três anos 38% das violações de dados foram causadas por ataques malignos ou criminais. Já os erros humanos e falhas no sistema atingiram 32% e 30% das vulnerabilidades, respectivamente. De acordo com os resultados do levantamento (10º Estudo Anual de Violação de Dados), as empresas brasileiras e francesas são as mais propensas a sofrerem uma violação, ao contrário das organizações localizadas na Alemanha e no Canadá, que são as que menos sofrem ataques.
No recorte direcionado para o Brasil, a pesquisa aponta que nas 34 empresas brasileiras entrevistadas, de 12 diferentes indústrias, os investimentos contra a violação de dados em 2014 chegaram a R$ 3,96 milhões, um aumento de 10% em relação a 2013, quando o valor era em média R$ 3,60 milhões. Além disso, o estudo revela que a despesa vinda de cada registro perdido ou roubado, contendo informação sensível ou confidencial, cresceu 11%, passando de R$ 157 para R$ 175 no mesmo período. O estudo também identificou que nos últimos três anos os custos relacionados com investigação aumentaram de R$ 870 mil para R$1,09 milhão. Já as despesas com atividades de notificação, como e-mails, correspondências etc; caíram de R$ 200 mil para R$ 110 mil. Os gastos relacionados com a perda de clientes, como a redução das atividades de aquisição, ou reputação dos negócios aumentaram de R$ 1,47 milhão para R$ 1,53 milhão. O líder de Segurança da Informação da IBM Brasil, André Pinheiro, explica que o motivo pelo qual os custos continuam crescendo é que o ciberataque está aumentando significativamente e as consequências financeiras com a perda de clientes em decorrência de uma violação estão tendo um impacto maior no custo. “Observamos um aumento na sofisticação e uma maior colaboração entre os ciber-criminosos e os custos apresentados no estudo provam isso”, comenta. Reação Pinheiro esclarece que a indústria precisa reagir e se organizar no mesmo nível que os hackers para poder se defender das contínuas violações. “Ataques malignos podem levar uma média de 256 dias para serem identificados, enquanto violações causadas por erro humano levam em média 158 dias”, alerta. Sobre as defesas contra essas inseguranças, o executivo orienta: “as organizações precisam investir em análise de dados avançada e no compartilhamento de inteligência de ameaças com a indústria. Isso vai igualar o jogo contra os ataques, enquanto atenua os custos para o comércio e para a sociedade”, conclui. A pesquisa revela também que o número de registros corrompidos por incidentes nessas companhias subiu, de 2013 a 2014, de 4.3 mil para 88.120. |