O Brasil se acostumou à infeliz realidade de noticiar com preocupante frequência algum incidente envolvendo ciberataques em alguma grande empresa, seja no setor privado ou público. São paralisações de operações ou vazamentos de dados na grande maioria das vezes sigilosos, inclusive que dizem respeito a informações sensíveis de clientes.
“A cibersegurança é uma área onde todo tipo de incidente traz consigo algum tipo de lição” diz Lierte Bourguignon, diretor de serviços da ISH Tecnologia. O especialista afirma que considerável parte dos casos de vazamentos de dados de grandes companhias tendem a seguir um mesmo “checklist” de erros no planejamento.
Abaixo, Bourguignon lista cinco aprendizados para empresas, deixados de “legado” pelos recentes ciberataques a corporações no Brasil:
Novas superfícies de ameaças estão desprotegidas – Bourguignon utiliza o exemplo da segurança física de uma casa para explicar. “Um invasor irá procurar brechas na arquitetura do local para entrar: uma janela sem proteção, um ponto de entrada sem muros. No digital a ideia é praticamente a mesma, pontos onde o acesso é mais fácil sempre serão prioridade”.
O especialista ressalta ainda que muitas dessas superfícies acabam desprotegidas por uma falta de comunicação com a equipe técnica. “A necessidade de velocidade do negócio faz com que seja muito mais importante colocar o site novo no ar o mais rápido possível, por exemplo, do que se certificar que as barreiras de proteção estão postas e prontas“, afirma.
Gerenciamento de credenciais é mal feito – Aqui a chave está em restrição de acesso. Não faz sentido que todos os colaboradores da empresa tenham igual acesso “à ponta” da companhia, como dados siligosos e transações financeiras. Idealmente, o usuário só possui acesso ao que lhe diz respeito em sua função.
“Em uma situação de ataque, um funcionário de cargo relativamente baixo, que está com uma máquina infectada, pode dar ao invasor acesso a conteúdos que podem causar danos irreversíveis”.
Correção de vulnerabilidades tardia – De maneira muito semelhante ao problema com as superfícies de ameaça, refere-se principalmente à dificuldade de se ilustrar o impacto técnico de uma vulnerabilidade encontrada na realidade de um negócio em constante necessidade de capitalizar e gerar dinheiro.
“O que percebemos na grande maioria das vezes é que a brecha que dá origem ao ataque não é algo novo, e sim um velho problema que nunca foi corrigido. Exatamente por essa necessidade de manter a roda girando, muitas empresas não entendem a importância de eventualmente tirar um sistema do ar para correção de uma falha, e os resultados vistos mostram que a troca não vale a pena”, explica Bourguignon.
Pouca resiliência dos parques – O especialista explica que, aqui, a falha é um tanto quanto simples: a segurança de dados não é colocada como prioridade na ampliação de parques e superfícies de serviço. O mapeamento e estabelecimento de barreiras de proteção costuma ser feito posteriormente (normalmente apenas após um ataque consumado), e dificilmente já é colocado na balança durante a etapa de planejamento.
Isso gera potenciais cenários onde uma única superfície desprotegida atinge todo o ecossistema.
Usuário final não é considerado – “No fim das contas, a segurança só existe porque existe um usuário para necessitar dela”, diz Bourguignon. Por isso, entende que um grande problema ser corrigido no setor é o quão distante a cibersegurança está do colaborador. “Costumamos dizer que ele é sempre o elo fraco, e isso possui um motivo: as soluções não são aproximadas de sua realidade, tudo soa como um grande tecniquês”. O especialista entende que uma palavra ajuda a sanar esta dor do setor: conscientização.
