Faturar bitcoins, vender dados e até mesmo realizar pagamentos, ou transferências, usando o ERP das empresas são alguns dos métodos habilidosos de invasão promovidas por hackers atualmente. A periculosidade é aumentada se pensar que tais ações contra a organização podem ser feitas por qualquer agente, seja um estranho ou até mesmo um colaborador mal-intencionado.
“A situação é preocupante porque as motivações de ciberataques deixaram de ser apenas para ganhos financeiros. São abordagens inovadoras que promovem danos físicos, roubam segredos comerciais, realizam invasões virtuais como forma de protesto e utilizam a infraestrutura comprometida para realizar outras invasões”, explica Marco Ribeiro, líder da prática de Gestão de Risco de TI da Protiviti.
Como forma de alertar as empresas, a empresa aponta seis passos práticos cujo objetivo é avaliar e tratar os riscos de TI na identificação e correção de ataques por meio de uma auditoria baseada na gestão de vulnerabilidade. A estratégia é ressaltada num momento em que o custo médio devido a um vazamento chega a R$ 4.5 milhões, conforme dados do Ponemon Institute reportado no IBM cost of breach 2016. Já em fraudes relacionadas às vulnerabilidades de TI, a Association of Certified Fraud Examiners (ACFE) aponta prejuízos financeiros que chegam a 5% do faturamento anual das empresas.
Trazendo outros números para a realidade do Brasil, que é considerado o País mais atacado da América Latina, temos que os atacantes permanecem em média 242 dias sem serem identificados no ambiente e TI, sendo que outros 99 dias são necessários, em média, para que seja feita a contenção do ataque.
Na prática
A primeira medida preventiva é mapear a estrutura organizacional da empresa com atenção total para área de TI. O primordial nesta fase inicial é saber os motivos pelos quais os executivos acionam a área e conhecer todos os colaboradores e fornecedores, que têm passagens livres nos sistemas da companhia.
Tendo este mapeamento em mãos, a segunda dica é saber como são executadas as atividades em Segurança da Informação. É pertinente nesse momento averiguar quais ações são inseridas nos processos de negócios da empesa. O terceiro passo é verificar se os riscos são medidos de acordo com o impacto ao negócio. E, principalmente, se há uma área da companhia dedicada à gestão de riscos.
A quarta etapa envolve a questão se os serviços fornecidos pela TI e SI estão definidos e catalogados, assim como, se estão estabelecidos através de processos e procedimentos. Um adendo importante neste estágio é saber se os controles são monitorados e se os eventuais incidentes são reportados aos responsáveis.
Já a quinta atitude é compreender as vulnerabilidades e os riscos que passam no ambiente de TI da empresa. De que forma a infraestrutura, os sistemas e as informações são protegidas? Há rotina de testes técnicos e de seus controles na operação de TI? São as duas indagações chaves a serem feitas.
Por fim, o sexto e último passo mostra como reportar os riscos ao board. A consultoria orienta três ações básicas: consolidar as vulnerabilidades em riscos relacionados a TI; associar quais riscos estão ligados às demandas de negócios e operacionais; e manter um dashboard periódico com riscos e planos de mitigação.
Portanto, a área de de TI das empresas pode servir de recurso para atacantes cometerem crimes eletrônicos e fraudes no ambiente interno ou em terceiros, sem que tenhamos conhecimento. Ataques como contra a DynDNS que comprometeu sites e serviços como o Twitter e o Spotify, promovido pela botnet Mirai, confirmam esta tendência. “O alerta é similar às instituições com ambientes na nuvem e que enfrentam os mesmos riscos dos ambientes convencionais. No entanto, devido ao grande volume de dados armazenados de várias origens, o cloud se torna um pool atrativo para os cibercriminosos. É preciso enfrentar esta realidade”, finaliza Ribeiro.
