Desafio não é mais o motivo
Já faz tempo que a sofisticação dos ataques está ligada intimamente ao número cada vez maior de informações das empresas circulando na rede. Se antes, boa parte dos ataques eram feitos apenas para provar a capacidade de um cibercriminoso em invadir um determinado sistema, hoje essas informações valem dinheiro.
Os ransomwares —programas maliciosos que “sequestram” dados e só os devolvem mediante pagamento—, fizeram diversas vítimas ao longo de 2016. Estudos apontam que durante o ano passado, esse tipo de ataque a empresas cresceu três vezes, passando de um ataque a cada 2 minutos para um a cada 40 segundos.
Além do sequestro, a venda de dados no mercado negro virtual, principalmente na deep web, também é um dos principais estímulos para os hackers. Para se ter uma ideia, em 2016, dados de mais de 17 milhões de usuários do Linkedin estavam a venda no mercado negro por pouco mais de US$ 2.000.
Além do vazamento
Além de dados de usuários e senhas, alguns empresários deparam-se com o roubo de código-fonte, descrições de plano de marketing ou novos produtos e vazamento de informações confidenciais para concorrentes.
Foi o que aconteceu com o programador e empreendedor Sérgio Silva* (*nome fictício), que, em 2015, descobriu que um de seus funcionários havia roubado a descrição e o código-fonte de um dos produtos da empresa de tecnologia que ele administrava. “Não tinha ideia que ele tinha acesso a tudo. Um dos funcionários compartilhou sua senha e ele teve acesso a tudo”, conta o programador que não quis se identificar para a matéria.
Já Sandro Camargo, que hoje é arquiteto de soluções da empresa A System, conta que participou de um caso quando trabalhava em uma empresa de TV por assinatura que envolveu vazamento de informações por e-mail. “Detectamos e-mails de um gerente comercial enviando informações confidenciais para o seu e-mail pessoal. até que um dia ele enviou um desses e-mails diretamente para o concorrente direto”, conta. O profissional foi desligado da da empresa e processado.
E como monitorar tudo isso?
Com tantas informações armazenadas em estruturas em Cloud (na famosa nuvem) e trafegando pela rede, nem sempre é fácil monitorar todos os acontecimentos. Um velho clichê da segurança resume bem a situação —existem dois tipos de empresas no mundo: as que já sabem que foram hackeadas e as que ainda não sabem.
“Estimativas indicam que metade das companhias do mundo terá estruturas em Cloud ou Data Centers externos para recuperação de desastres primários até o ano que vem e, já em 2020, cerca de 30% das 2.000 maiores empresas globais estarão impactadas por grupos de ciberativistas ou cibercriminosos”, diz Mário Rachid, Diretor Executivo de Soluções Digitais da Embratel.
Para não cair na lista das empresas que “ainda não sabem”, muitas companhias têm optado por buscar serviços e ajuda de outras empresas especialistas, capazes de monitorar e prever determinados acontecimentos.
É o caso do Embratel Cyber Intelligence, uma solução lançada em 2016 pela Embratel capaz de identificar previamente possíveis ameaças, inclusive monitorando o que acontece no tráfego da rede e detectando movimentos na Deep Web, Dark Web e de dispositivos de Internet das Coisas.
De regra geral, a partir da coleta de dados nos clientes, a Embratel cria um perfil com as caraterísticas técnicas de cada estrutura. Diante de qualquer alteração, as empresas são avisadas imediatamente sobre movimentos indevidos e sobre as melhores estratégias de defesa para se protegerem das ameaças e para prevenirem novos ataques de negação de serviço (DDoS).
“Nossa nova solução pode ajudar as empresas a analisarem seus níveis de proteção e a monitorarem, com inteligência preditiva, eventuais movimentos na Internet”, diz o Diretor Executivo da Embratel.
Segurança da informação é composta por pessoas, processos e tecnologias. Por isso, não basta comprar aquele firewall ou antivírus de última geração se a empresa não for capaz de acompanhar a evolução de ameaças
É fato que a informação tem grande valor para a humanidade e é fator determinante para o fortalecimento de nações e de potências comerciais. Nos dias atuais, o volume de informações alcança proporções astronômicas, assim como aumenta também sua importância e a necessidade de protegê-las. A criação de mecanismos para classificar, avaliar e tratar cada tipo de informação representa direcionar recursos e esforços diferentes para cada uma delas.
Uma pesquisa realizada pela consultoria PwC revela um crescimento de 274% no número de ataques cibernéticos no Brasil. Vimos, desde o começo do ano, ataques a grandes empresas como UOL, Google, divulgação de senhas do governo e até mesmo o Sisu não foi poupado, tendo inscrições de candidatos alteradas. Esses são apenas alguns exemplos de ataques que aconteceram em território nacional.
Sabemos que todas as empresas impactadas por esses ataques possuem grandes soluções de segurança implementadas, times de segurança da informação bem estruturados assim como investimentos consideráveis em segurança. Ao passo que os ataques cibernéticos estão cada vez mais elaborados e sofisticados as empresas, por sua vez, têm de acompanhar esse cenário e desenvolver mecanismos capazes de antecipar esses ataques, bem como reagir de forma adequada para cada tipo de incidente.
Precisamos mesmo ser tão reativos?
Boas práticas não faltam no mercado, assim como soluções tecnológicas complexas e caras, que prometem proteções eficazes contra diversos tipos de ataques e vulnerabilidades. Mas será que somente isso basta? Se temos soluções de alta tecnologia, grandes empresas por trás delas, times de segurança (que deveriam ser bem treinados), bases de conhecimento abertas, por que então em vez dos ataques diminuírem eles só aumentam? Ou melhor, por que temos a sensação de que não conseguimos combater ou nos anteciparmos aos ciberataques de forma eficaz?
A resposta é simples: Segurança da informação é composta por pessoas, processos e tecnologias, ou seja, não basta comprar aquele firewall, SIEM, IPS ou antivírus de última geração se a estratégia de implementação, ciclo de vida, sustentação e resposta a incidentes não forem capazes de acompanhar a evolução de ameaças nos dias de hoje.
Muitas empresas montam seus planos e estratégias de proteção baseadas em dados que não refletem o cenário atual de ameaças ou que não endereçam de forma adequada a proteção de pessoas, processos e tecnologias. Implementações de frameworks como ISO 27001, PCI-DSS, HIPAA e SOX não alcançam seu objetivo real se a motivação para os adotar tiver propósito apenas comercial, em vez de ter como objetivo atender ao que cada um desses frameworks se propõe. Implementar uma metodologia de proteção de dados simplesmente porque a empresa terá vantagem comercial não significa dar importância à segurança da informação.
Muitos C-levels enxergam ou investem mais em tecnologias de segurança e menos em campanhas de conscientização ou em processos e controles internos.
Melhores práticas podem ajudar?
Não existe uma receita pronta ou um método 100% eficaz para se aplicar de forma generalizada em todas as empresas ou em seus ambientes, mas de uma forma geral, a definição de uma boa estratégia de segurança começa pelo entendimento correto de seu escopo, ou seja, definir o alcance real de proteção do que será protegido. Na sequência, análises críticas, de risco e maturidade de processos dará a visibilidade dos principais pontos fracos e fortes de sua empresa.
Com esse mapeamento definido é possível identificar e classificar os tipos de informações a serem protegidas e os níveis de proteção mais adequados para cada uma delas. Otimizando os recursos dessa forma é possível gerenciá-los e direcioná-los de acordo com as necessidades de cada empresa.
Implementar um sistema de gestão de segurança da informação ou algum framework de segurança não impede que incidentes aconteçam, mas endereçam diversas medidas que diminuem suas probabilidades, além de propor métodos capazes de medir se a implementação dos controles e processos adotados são eficazes ou não. Campanhas de conscientização, desenvolvimentos de políticas e procedimentos bem balanceados ainda são os grandes aliados para prevenir incidentes de segurança.