Parece que essa “regra” não se aplica ao mundo da Segurança da Informação. Basta avaliarmos os recentes ataques que vieram à tona nas últimas semanas utilizando vulnerabilidades há meses já conhecidas e que ainda assim não tinham sido tratadas por muitas empresas.
Ouve-se falar em pragas virtuais há muito tempo e que, no decorrer dos anos, foram potencializadas com mais inteligência de ataque e alcance, destinadas a invadir computadores, raptar dados, solicitar resgate, vazar informações, corromper serviços e causar estragos. E os tais cuidados que sempre nos ensinaram a ter na vida real, saltaram para o mundo virtual.
Esta onda cibercriminosa tem levado à muitas organizações o sentimento de insegurança, quando passam a ser reféns de uma tendência tão caótica quanto o aquecimento solar, e no momento de indisponibilidade do negócio buscam compreender o que se passa nesta nova economia virtual.
Em maio um evento de grande impacto global – o ataque cibernético intitulado WannaCry – em menos de 24 horas já atingia 70 países. Não ficamos de fora e rapidamente o Brasil já configurava a lista dos 10 países mais afetados. Um mês depois, o país voltava a ser bombardeado com o ciberataque do vírus Petya.
Esta poderia ser uma triste coincidência se não fosse o fato de que o comportamento dessa nova ameaça atua na fatídica falta de atualização dos pachtes de segurança. Assim, o enredo se repete: a necessidade crucial das empresas manterem seus ambientes atualizados.
A previsibilidade de um ambiente que está constantemente em evidência e os crescentes ataques cibernéticos, observamos que o Brasil se destaca em 4º. lugar no mundo como fonte de SPAM e flutua entre os cinco países que mais são afetados. Ora, se isso é real, então não é possível desconsiderar que precisamos treinar, educar e conscientizar continuamente os colaboradores (executivos também!) quanto às boas práticas e investir em segurança da informação.
Entendo que os números são taxativos e deixam pouca margem para o desconhecimento, a omissão ou mesmo a inocente certeza de que “isso nunca afetará a minha empresa”.
Então, para reflexão, se você não adotou medidas mínimas de proteção – adotar o uso de um antimalware, manter atualizado os sistemas operacionais, ter cópias de segurança (famoso backup) de seus dados, nunca abrir arquivos nem e-mails de remetentes desconhecidos e atuar profundamente no aculturamento dos colaboradores – então você de fato tem um potencial incidente em suas mãos. A repetição dos ataques não terá valido de nada para esse aprendizado.
*Cristiano Pimenta é Diretor de Serviços da Arcon, empresa especializada cibersegurança com foco em serviços gerenciados de segurança (MSS – Managed Security Services).
