Com o avanço da tecnologia e o crescente número de usuários de computadores, smart tvs, celulares entre outros, a quantidade de informações que circulam pelo mundo é imensurável. Se você já é um profissional da área e atua no segmento de segurança de dados, lida diariamente com incidentes de segurança.
Muitas vezes uma pequena falha não causa pânico. Porém, os grandes ciberataques podem ser responsáveis por grandes perdas, roubo e até bloqueio de dados. Caso isso aconteça todos os membros da equipe saberão o que fazer? Qual plano deve ser seguido e a responsabilidade de cada um nesta ocasião? Se não houver um planejamento, não haverá garantia que a resposta da equipe será a mais adequada. Um bom plano de ações define como identificar, conter e gerenciar estas ocorrências.
“As empresas precisam entender que a implementação de uma segurança de dados mais completa não pode ser considerada como gasto e sim como investimento”, analisa David Tudino, diretor de serviços gerenciados de segurança. “De uma forma geral, a resposta a incidentes é primordial para as empresas, afinal milhares de ataques acontecem por minuto, durante 24 horas, sem descanso”, completa Tudino.
Atualmente muitas empresas tem mudado o seu mindset em relação à forma da proteção de suas informações. Elas têm trabalhado, principalmente, com três pilares que são: tecnologia, pessoas e processos muito bem definidos, tanto para evitar como para fazer a contenção e reparação do dano causado.
No caso do material humano, ter um profissional capacitado na empresa não é tudo. É necessária a preparação e conscientização de todos os usuários, para que a proteção seja realmente eficaz. Educar para que não cliquem em qualquer link, não abrir e-mails suspeitos, além de não repassar qualquer tipo de informação, por mais irrelevante que ela pareça.
Na tecnologia, dois pontos devem ser observados com mais atenção, são eles User Behavior e Machine Learning. No primeiro caso, devemos olhar com mais cuidado os hábitos e costumes dos usuários e ficar atentos quando algo de diferente do habitual aconteça, para que a resposta seja rápida e certeira, afim de coibir algum dano. Já em Machine Learning a máquina vai se alimentando de informações que acontecem no dia-a-dia, fazemos isso sem perceber. Os dados são passados de forma automática pelos smartfones, relógios, mídias sociais, sites e até as casas inteligentes que começam a surgir.
As empresas e nós, usuários de TI, não prestamos atenção nos IOTs (Internet das Coisas). Hoje praticamente tudo se comunica com a internet, e acabamos passando informações confidenciais sem o mínimo de proteção. Quem nunca utilizou o IFood, Uber, Mercado Livre? “Cada vez mais colocamos o número de nosso cartão de crédito em aplicativos, sem saber se este ambiente é realmente seguro”, lamenta.
No caso dos processos, a empresa precisa conhecer seus pontos fracos e vulneráveis, para que possa ser feito um trabalho de prevenção e proteção. “Quando o cliente compra um produto de segurança, ele acredita que seus problemas já estão resolvidos, e na verdade não é bem assim”, explica. Existem empresas especializadas no mercado responsáveis por fazer uma análise de toda a arquitetura do cliente no que tange a área de segurança, para sugerir a melhor alternativa para o cliente, além da realização de inúmeros testes, como os de intrusão (pentest), que simulam um ataque de uma fonte maliciosa para avaliarem o nível de vulnerabilidade da rede.
Os testes vão trazer respostas claras a perguntas como: realmente minha empresa está protegido?, será que não seria melhor aumentar os níveis de segurança (camadas)?, se eu fosse o invasor como eu tentaria entrar na minha empresa? Se uma das respostas for positiva é necessário verificar a vulnerabilidade do ambiente e realizar análise do ambiente.
Outro erro muito comum das empresas é deixar senhas padrões em seus dispositivos. Ao adquirir um produto ou serviço, ela vem com a senha padrão, e as empresas não fazem a alteração. Isso facilita a ação de pessoas mal intencionadas. Vale ressaltar aqui a importância de se manter os sistemas atualizados, senhas fortes, ter um segundo fator de autenticação, além é claro, de nunca passar informações para desconhecidos.
A Lei Geral de Proteção de Dados Pessoais (LGPD), que entrará em vigor em agosto de 2020, tem como principal objetivo reduzir a exposição de nossos dados, inclusive financeiros, a todo tipo de criminoso, deixando as companhias sujeitas a multas pesadas em caso de irregularidades. O texto define que apenas informações necessárias para a prestação de serviços poderão ser coletadas e proíbe, sem autorização do cliente, o compartilhamento e a venda de dados como nome, e-mail, idade e sexo. Além disso, as informações deverão ser apagadas após o fim da relação entre empresa e consumidor. A multa pelo descumprimento das normas pode chegar a 2% do faturamento anual, contanto que não ultrapasse o teto de R$ 50 milhões, estabelecido pela lei.
David Tudino é diretor de Serviços Gerenciados de Segurança da Cipher, empresa do Grupo Prosegur, especializada em segurança cibernética.