Tudo sobre segurança da informação!
Um tema importante na gestão de negócios, a segurança da informação tem se tornado uma pauta cada vez mais abordada nas empresas, especialmente no setor de TI. As ações contra ataques digitais devem ser estratégicas, para garantir que o conjunto de dados confidenciais da organização esteja seguro.
O grande problema é que
qualquer falha encontrada nas redes e nos sistemas pode abrir caminho para
problemas maiores. Em 2015, um erro desse tipo expôs 4 milhões de servidores federais dos
Estados Unidos. Isso mostra que grandes corporações e até mesmo órgãos
governamentais estão suscetíveis a ciberataques e brechas de segurança.
Empresas de pequeno e
médio porte também podem perder seus dados para cibercriminosos, principalmente
devido à maior vulnerabilidade dos seus sistemas. Por isso, é fundamental que
os gestores entendam a importância do assunto, bem como todos os pontos,
técnicas e informações envolvidos para aprimorar a proteção do negócio.
Neste artigo, mostraremos como aumentar a segurança digital
nas empresas. Para isso, é preciso entender o conceito, seus princípios e sua
importância, as penalidades legais envolvidas e o valor do investimento. Além
disso, é essencial verificar a necessidade de contratar empresas especializadas
e saber o que avaliar nesse momento.
O que é segurança da informação? E cibersegurança?
A área de TI das empresas
trabalha com diferentes tipos de tecnologias no gerenciamento e armazenamento
de dados. Muitas das informações são confidenciais e precisam estar protegidas
por políticas de segurança digital. Essas diretrizes determinam as estratégias
e os procedimentos mais eficazes para o tratamento dos dados.
Existem diversos conceitos
a respeito da área de InfoSec ― Information Security ―, mas utilizaremos esta:
a segurança da informação compreende um conjunto de práticas, recursos,
sistemas, habilidades e mecanismos usados ao proteger todos e quaisquer tipos de dados da empresa e
sistemas contra o ataque de criminosos, o acesso indevido de usuários e o uso
impróprio das informações da organização.
Essas técnicas também
visam prevenir o sequestro ou a perda de dados. Agora, será que segurança da
informação e cibersegurança são a mesma coisa? Descobriremos a resposta a
seguir.
Segurança da informação
Também chamada de
segurança cibernética, a cibersegurança é a prática de proteger informações e
dados que chegam ao usuário da organização, provenientes de fontes externas e
somente por meio de protocolos de internet. Se alguém do outro lado do mundo
conseguir invadir a rede de uma empresa e violar seu sistema, essa companhia
precisará de uma melhor segurança cibernética.
Percebeu a diferença entre
ela e a segurança da informação? Embora muitas pessoas ainda as considerem
iguais, elas são realmente diferentes, sobretudo na forma técnica como são
tratadas e corrigidas. Suas capacidades também são diferentes. Ambas protegem
contra informações e dados roubados, acessados ou alterados, mas as semelhanças
terminam aí.
É necessário entender que
a segurança da informação é considerada uma parte da área de InfoSec. Nesse
caso, os dados não precisam estar em um computador ou na internet para
precisarem de um sistema de segurança digital, ou da informação. Mesmo que estejam
em um pendrive, assim que o dispositivo se conectar à empresa, eles precisarão
passar por uma boa estrutura da segurança da informação.
Cibersegurança
Já a cibersegurança lida
com a proteção de dados e informações a partir de fontes externas, provenientes
exclusivamente da internet. Com base nessas informações, chegamos a esta
conclusão: nem tudo que é segurança da informação envolve a cibersegurança, mas
toda cibersegurança envolve a segurança da informação.
Tendo essas premissas
definidas, listamos as melhores práticas que a área de InfoSec precisa
realizar. São elas:
- evitar e combater ataques virtuais;
- identificar e recuperar vulnerabilidades
nos sistemas de TI;
- proteger dados armazenados virtualmente;
- determinar regras para a gestão das
informações;
- controlar o acesso de usuários aos dados
corporativos.
Dessa forma, a segurança
digital engloba não apenas os dados em si e seus meios de armazenamento, mas
também os sistemas de coordenação e de usuários. Isso significa que ela não se
restringe à estrutura de informática e seus componentes, como veremos adiante.
É fundamental compreender
que nenhuma organização é capaz de atingir um nível de controle de 100% das
ameaças à segurança da informação. Um dos principais motivos é a constante
inovação e evolução de hardwares e softwares.
Os especialistas da Gartner avaliam que as transformações na
segurança cibernética demandarão novos tipos de estratégias e habilidades para
superar os ataques. Ademais, eles advertem sobre a impossibilidade de conter
todas as ameaças de forma igual — por isso, é necessário privilegiar o que é
mais importante no momento.
Para as autoridades no
assunto, os investimentos em segurança da informação
devem ser divididos da mesma maneira entre a prevenção e a localização do
problema. Apesar de não ser possível evitar todos os ataques, é importante
saber como superá-los e resolvê-los o mais rápido possível.
Quais
são os componentes da segurança da informação?
Esse contexto envolve
todos os recursos da empresa de alguma forma. Entre eles, podemos citar
computadores, softwares, hardwares, redes e até mesmo os colaboradores. Cada um
desses elementos tem um papel importante no que diz respeito à proteção dos
dados.
Computadores
As máquinas são as
principais formas de controle dos dados nas empresas. Por meio delas, as
informações são criadas, armazenadas ou modificadas. Logo, é muito importante
que estejam adequadamente protegidas das ameaças. Softwares e hardwares
específicos podem ser utilizados para essa finalidade.
Softwares
Os principais softwares
que são usados para garantir a segurança da informação são desenvolvidos
para atuar como:
- antivírus;
- antimalware;
- antispyware;
- proxy;
- antiransomware;
- firewall.
De maneira geral, eles
ajudam a filtrar os conteúdos e a reconhecer possíveis ameaças à integridade
dos dados. Os recursos impossibilitam que os invasores encontrem e se
aproveitem de alguma vulnerabilidade do servidor que poderia dar início a um
ataque.
Hardwares
Quando falamos em
hardwares e em segurança da informação, o firewall é o principal aliado das
empresas. Ele também pode ser encontrado na forma de software — ambos com
finalidades semelhantes.
O firewall enquanto
hardware disponibiliza uma série de funcionalidades específicas, que propiciam
um melhor gerenciamento dos sistemas. Além disso, a capacidade de processamento
dessa versão é superior à do software.
Colaboradores
É fundamental que toda a
equipe esteja ciente das regras de segurança, para evitar falhas que se tornem
portas de entrada de cibercriminosos. O motivo para essa cautela é que, quando
uma pessoa viola as normas, ela abre uma brecha na proteção e compromete toda a
rede.
Existem também os
profissionais que atuam diretamente no gerenciamento e na execução das rotinas
e atividades de segurança da informação. Essas pessoas podem ser contratadas
pela companhia ou integrar o time de organizações parceiras terceirizadas.
Em geral, engenheiros e
analistas de segurança são os responsáveis por elaborar e planejar as melhores
práticas de proteção dos dados da empresa. Os técnicos em segurança, por sua
vez, devem implantar e executar as ações programadas.
O trabalho também engloba
os gestores, que são encarregados de disseminar e multiplicar as práticas de
vigilância por toda a organização, a fim de que elas sejam rigorosamente
cumpridas.
Por
que a segurança digital é tão importante?
As ameaças à segurança
aumentam quase na mesma proporção com que as inovações chegam ao mercado. E os
empresários estão mais ocupados do que nunca com a expansão e a inovação dos
seus negócios, tanto que alguns chegam a ignorar o aspecto da segurança. Um
grave descuido — ou tentativa de economia em curto prazo — que expõe toda a
empresa a ataques.
O gestor nunca deve se esquecer
de que as informações, digitalizadas ou não, estão no centro de qualquer
organização, sejam registros comerciais, sejam dados pessoais ou ainda
propriedade intelectual. Podem ser mantidas em vários lugares e acessadas de
diversas maneiras.
É crucial inovar,
transformar e partir para processos disruptivos, mas tão importante quanto é
defender e proteger os dados da organização. Sempre ouvimos histórias de
computadores e redes sendo invadidas e que isso leva a enormes quantidades de
dinheiro sendo perdidas ou a dados confidenciais caindo nas mãos erradas —
muitas vezes, vendidos na dark web.
Esses atos ilícitos
fizeram com que algumas empresas parassem suas operações por diversos fatores,
como:
- extravio de capital, ocasionado por
alguma invasão;
- ransomware, ou seja, sistemas e dados
indisponíveis e só liberados pelos cibercriminosos após o pagamento do
sequestro;
- enfraquecimento da marca assim que a
informação de invasão vaza aos clientes;
- processos dos clientes, ao descobrirem
que seus dados pessoais ou sobre um novo produto, altamente confidencial,
foram invadidos.
Não importa quão grande ou
pequena uma empresa possa ser, há uma importância vital para garantir a
segurança da informação, tanto para os dados operacionais quanto para os dos
clientes.
O planejamento cuidadoso,
a implementação, o monitoramento e a manutenção com controles e procedimentos
rigorosos são necessários para proteger todos os ativos — em especial os dados
—, algo extremamente valioso para qualquer organização.
A segurança da informação nos negócios
A questão da segurança em
processos de coleta, tratamento e disposição de dados é mais séria do que se
imagina. De acordo com uma pesquisa da Accenture, dois em cada três ataques virtuais a empresas são
bem-sucedidos.
Uma outra pesquisa, da Universidade de Maryland, Estados Unidos, concluiu
que, em média, hackers atacam a cada 39 segundos. Ou seja, enquanto você está
lendo este tópico, é bastante provável que, pelo menos, um hacker tentou burlar
suas defesas virtuais.
São motivos mais que
justos para investir em segurança de informação que possam não só
proteger seus dados como blindar suas transações online. Afinal, ataques não
são gratuitos e, em geral, hackers mal intencionados buscam lucrar com suas
ações.
Quais
são os riscos e as penalidades do vazamento de informações?
O vazamento de informações é um problema
real e crescente. Todo mês, notícias sobre vazamentos de informações
confidenciais se tornam públicas. Esses são os casos conhecidos, ou seja, que
têm um impacto visível.
Mas há ainda mais
incidentes semelhantes ocorrendo diariamente e a grande maioria dos vazamentos
de informações é acidental: não é apenas o resultado de ações dolosas. A perda
de dados não intencional talvez seja a mais perigosa, porque os afetados não
estão necessariamente cientes ou capazes de agir sobre o problema.
A perda de informações
pode representar um custo muito alto às organizações. Essa falha gera custos
diretos e indiretos: a propriedade intelectual ou a informação industrial em
si, além do custo para lidar com as consequências da perda. Os prejuízos
indiretos incluem perda de credibilidade, de vantagem competitiva e
transgressões regulatórias.
É possível mudar a cultura do colaborador?
Os crescentes riscos de
vazamento de informações são, em geral, desencadeados por escândalos
corporativos em que informações sigilosas são divulgadas. Como a maioria desses
casos demonstra, as violações não resultam de irregularidades maliciosas, mas
de atitudes de funcionários, que, inadvertidamente, colocam suas empresas em
risco.
Isso pode ocorrer, por
exemplo, quando os colaboradores enviam mensagens de e-mail com arquivos ou
conteúdo que eles não sabem ser confidenciais. Outro exemplo consiste nos
funcionários que entregam arquivos privados da empresa para algum e-mail
externo ou os copiam para dispositivos móveis e, consequentemente, expõem as
informações internas em ambientes não confiáveis.
Além da implementação de
mecanismos de segurança, é crucial treinar e conscientizar a equipe, a fim de
mudar a cultura de toda a empresa, para que todos façam a sua parte — que
envolve ética e integridade moral.
E quanto às novas leis, estamos protegidos ou seremos mais penalizados?
Com a tentativa de
uniformizar as regras, mitigar os problemas de segurança e privacidade e entrar
em um consenso, a Europa lançou a lei GDPR — Regulamentação Geral de Proteção
aos Dados —, tornando-a obrigatória mundialmente desde maio de 2018.
Então, se você tem um
e-commerce e vende para qualquer país da União Europeia, sua empresa precisa
estar em conformidade com a GDPR. Já no Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD),
sancionada em 14 de agosto de 2018, foi inspirada na GDPR.
Ela prevê a conformidade e
estabelece um formato para a adoção de melhores práticas, privacidade, governança
e rápida resolução dos problemas de segurança digital. As penalidades previstas
para a GDPR chegarão a 20 milhões de euros ou 4% do faturamento bruto anual da
empresa (pagos ao Governo), com restrição de direitos e pagamento de
indenizações (pagos à pessoa lesada).
Já as multas para o
Brasil, por meio da LGPD, serão de até 50 milhões de reais ou 2% do faturamento
bruto (Governo), com o pagamento das indenizações à pessoa lesada.
Quais
são os benefícios de investir em segurança da informação?
Segundo o 2020 Cost of a Data
Breach Report, da IBM, falhas na segurança da informação custam às
empresas US$ 3,86 milhões. Eis, então, o primeiro benefício ao investir em
sistemas e defesas que protejam dados: a economia.
Não menos importante,
empresas que mantêm dados críticos e pessoais de seus clientes seguros
arriscam-se menos a sofrer danos na imagem. Nesse aspecto, há de se considerar
que credibilidade é algo difícil de conquistar e que, uma vez perdida,
dificilmente se recupera.
Um bom exemplo disso é a
marca esportiva Under Armour. Em 2018 ela sofreu um ataque que
resultou no vazamento de senhas de 150 milhões de usuários do app MyFitnessPal.
No segundo semestre, a empresa divulgou um prejuízo de US$ 125,8 milhões, dez vezes mais
que o registrado um ano antes.
Isso sem contar os danos
imateriais e a perda de confiança que, como tais, são muito mais difíceis de
contabilizar. Então, é muito prudente considerar o investimento em segurança da
informação. Veja os benefícios atrelados à prática!
Evita ataques DDoS
Os chamados ataques Distributed Denial of Service
(DDoS) são particularmente perigosos porque, neles, os invasores tornam
impossível o acesso aos sistemas atacados. Eles fazem isso por uma variedade de
técnicas pelas quais criam uma sobrecarga no tráfego, inviabilizando qualquer
tipo de operação em um sistema online.
O desafio é se antecipar a
esse tipo de ataque, que nunca acontece da mesma maneira. Essa
imprevisibilidade faz com que a segurança da informação tenha que redobrar seus
esforços no sentido de prever falhas e implementar protocolos de acesso
seguros.
Dessa forma, todo
investimento que se faça para impedir ataques DDoS será sempre bem-vindo, tendo
em vista o seu altíssimo potencial de causar danos.
Protege contra ataques Ransomware
Por sua vez, ataques do
tipo Ransomware são uma espécie de sequestro virtual. A diferença, aqui, é que,
em vez de pessoas, o alvo do cibercrime são os dados, que são acessados e
criptografados sem autorização. Com isso, as pessoas devidamente autorizadas a
acessá-los perdem suas credenciais, pelo que é cobrado um resgate.
Ao proteger sua empresa
dessa modalidade de ataque, você também se previne de prejuízos de grande
vulto. Isso porque segundo uma pesquisa da Safety Detectives, estima-se
que os custos com esse tipo de cibercrime, em 2021, cheguem a impressionantes
US$ 20 bilhões.
Garante a segurança de blockchain
Embora seja considerado um
ambiente seguro, o blockchain também sofre eventuais ataques.
Neles, o alvo dos invasores são as criptomoedas, o que gerou, em 2017, um
prejuízo equivalente a US$ 2 bilhões, segundo uma reportagem da revista Época.
Considerando que não só
pessoas físicas como empresas estão investindo cada vez mais nesse ativo
financeiro, vale atentar para medidas que as protejam de ciberataques. Há,
inclusive, softwares e recursos desenvolvidos exclusivamente para proteção de
dados nesse ambiente, como o da Kaspersky.
Cumpre a LGPD
Finalmente, como benefício
adicional, ao investir em segurança da informação sua
empresa garante que estará em conformidade com a recente LGPD. Dessa forma,
além de assegurar transações confiáveis e o correto tratamento dos dados de
seus clientes, você também evita prejuízos financeiros.
Afinal, a lei prevê sanções pesadas para quem não
cumpri-la, com multas podendo chegar a 2% do faturamento anual, limitadas a R$
50 milhões. Cabe frisar que essas multas só passam a valer a partir de agosto
de 2021, por isso, quanto antes você investir, mais tempo terá para ajustar
seus processos com base na nova lei.
Quais
são os princípios da segurança digital?
Com todas as dificuldades
e precauções apresentadas, as equipes responsáveis pela segurança digital
enfrentam diversos desafios no dia a dia. Elas devem se adaptar rapidamente às
novas condições necessárias para a continuidade dos negócios e, ao mesmo tempo,
precisam estar preparadas para enfrentar problemas cada vez maiores em um
ambiente hostil.
Os profissionais da área
devem aprender a trabalhar com as principais e mais modernas tendências
tecnológicas, pois, assim, conseguem manter a proteção de todo o sistema corporativo.
Para facilitar o processo, foram definidos alguns pilares que colocam empresas
e profissionais da área em conformidade.
Confidencialidade
O princípio da
confidencialidade define que as informações só podem ser acessadas e
atualizadas por pessoas com autorização e credenciamento para tal. Dessa forma,
é importante que as empresas contem com recursos da tecnologia da informação
capazes de impossibilitar que usuários não autorizados acessem dados
confidenciais — seja por engano ou má-fé.
Confiabilidade
É o fundamento que atesta
a credibilidade da informação. Essa característica é muito importante, pois
garante ao usuário a boa qualidade dos dados com os quais ele trabalhará.
Integridade
A integridade assegura que
as informações não sofrerão nenhum tipo de modificação sem que um colaborador
de confiança autorize a ação. Garantir que os dados não serão alterados durante
o tráfego, processamento ou armazenamento é um princípio muito importante para
a segurança da informação.
Assim, eles permanecem
íntegros durante todo o processo. Esse pilar certifica, por exemplo, que todos
os destinatários receberão as informações assim como elas foram enviadas.
Disponibilidade
O princípio da
disponibilidade pressupõe que as características das informações estejam
disponíveis aos usuários exatamente no momento em que eles precisarem delas.
Para isso, softwares, hardwares, conexões e dados devem ser oferecidos a quem
vai utilizá-los, de forma que as pessoas tenham acesso àquilo de que necessitam.
É importante destacar que
esse pilar está diretamente ligado à confidencialidade. Afinal, para
disponibilizar as informações, é necessário respeitar as regras estabelecidas
pela segurança da informação.
Autenticidade
Garantir a proteção dos
dados com autenticidade significa saber, por meio de registros apropriados,
quem fez atualizações, acessos e exclusões de informações, de modo que exista a
confirmação da sua autoria e originalidade.
Todas as particularidades
da segurança da informação devem estar em vista e ser tratadas com o máximo de
bom senso e cuidado, para que os colaboradores e gestores da empresa sejam
beneficiados. Da mesma forma, o público externo, como parceiros e clientes,
também se favorece com essa ação.
Quais
ações de segurança devem ser tomadas?
Para entender como agir em
caso de ataque, é importante conhecer antes os principais objetivos dessas
ações, que são:
- interrupção — afeta a disponibilidade
das informações, fazendo com que elas fiquem inacessíveis;
- interceptação — prejudica a confidencialidade
dos dados;
- modificação — interfere na integridade
das informações;
- fabricação — prejudica a autenticidade
dos dados.
Também é possível
classificar os ataques, como:
- passivo — grava de maneira passiva as
trocas de informações ou as atividades do computador. Por si só, não é um
ataque prejudicial, mas os dados coletados durante a sessão podem ser
utilizados por pessoas mal-intencionadas para fraude, adulteração,
bloqueio e reprodução;
- ativo — momento no qual os dados
coletados no ataque passivo são utilizados para diversas finalidades, como
infectar o sistema com malwares, derrubar um servidor, realizar novos
ataques a partir do computador-alvo ou até mesmo desabilitar o
equipamento.
Conheça, agora, as
principais ações para proteger as informações da empresa.
Registros de logins
O uso de logins e senhas
para conter o acesso aos sistemas é um dos meios mais comuns de proteção
digital, mas ainda muito efetivo. O grande problema é que cibercriminosos podem
usar programas que testam diversas combinações de números, letras e outros
caracteres para acessar uma rede corporativa.
Para dificultar a ação, os
usuários devem escolher sempre senhas fortes. De toda forma, é importante que a
equipe de TI monitore os erros de segurança e os acessos de login.
Autenticações realizadas fora do horário comum podem ser evidências da ação de
crackers.
Proteção de servidores
Proteger os servidores
corporativos é uma ação indispensável para qualquer empresa. Devido ao tráfego
intenso e ao elevado nível de energia requerido pelos sistemas, as ferramentas
de segurança precisam aproveitar de modo inteligente os recursos do hardware.
As soluções aplicadas
devem possibilitar proteção integral contra ataques, de maneira proativa e com
detecção em tempo real, consumindo a menor quantidade possível de recursos do
sistema.
Segurança de e-mail
O e-mail é uma ferramenta
muito utilizada para a difusão de ameaças digitais. Portanto, a sua proteção
não pode ser negligenciada. Como veremos, o phishing é uma das principais
formas de ataque, assim como o compartilhamento de anexos ou links.
Para usar gerenciadores de
e-mail nas máquinas, é importante ter alguns cuidados, como:
- fornecer permissões de acesso apenas a
dispositivos automatizados;
- proteger os conteúdos e os anexos do
e-mail;
- instalar firewalls e filtros contra
spam.
Também é necessário
definir políticas de orientação, de modo que os colaboradores entendam sobre
boas práticas na coordenação de e-mails.
Backups
A cópia de segurança — ou
backup — é um mecanismo essencial que assegura a disponibilidade das
informações, caso as bases nas quais elas foram armazenadas sejam roubadas ou
danificadas. Os novos arquivos podem ser armazenados em dispositivos físicos ou
em nuvem.
O importante é que sejam
feitas, pelo menos, duas cópias de segurança e que tais registros sejam
guardados em locais distintos da instalação original. A partir do backup, é
fácil recuperar, em um curto intervalo de tempo e sem grandes mudanças na
rotina, as informações perdidas por acidentes ou roubos.
Mecanismos de segurança eficazes
Existem muitos
procedimentos de segurança lógicos, físicos ou que combinam as duas
possibilidades para a prevenção da perda de dados e o controle de acesso à
informação. O meio físico pode ser a infraestrutura de TI protegida por uma
sala com acesso restrito.
Para isso, a empresa pode
investir em travas especiais nas portas ou em câmeras de monitoramento. Nesses
ambientes, é fundamental haver sistemas de refrigeração e de instalações
elétricas adequadas para assegurar o correto funcionamento dos equipamentos.
Em caso de falta de
energia elétrica, é importante ter nobreaks que consigam garantir o
funcionamento da instalação pelo tempo suficiente. Equipamentos de telemetria
também são importantes para detectar falhas e emitir alertas automáticos aos
responsáveis.
Assinatura digital
A assinatura digital é um
método que usa a criptografia para garantir a integridade e a segurança dos documentos e das transações
eletrônicas. Como a grande parte dos arquivos empresariais migrou para os meios
virtuais, garantir suas autenticidades é crucial.
Dessa forma, a assinatura
digital serve para validar contratos e outros conteúdos, garantindo que o
emissor de um documento foi verificado e que o remetente é realmente quem diz
ser.
Ameaças à segurança da informação
A cada ano, as ameaças se
tornam mais personalizadas e sofisticadas e conseguem explorar pontos fracos de
diversos alvos. Os avanços tecnológicos também permitem que os cibercriminosos
transformem ou contornem as defesas que já foram implementadas.
Como a tendência é que os riscos
aumentem, as empresas devem se manter sempre atualizadas e conhecer as
principais ameaças à segurança da informação.
Vírus e malwares
Tanto em dispositivos
pessoais quanto nos corporativos, os vírus de computador são um dos maiores
temores dos usuários. Isso acontece porque a ação dos softwares
mal-intencionados causa diversos prejuízos, especialmente em grandes
corporações.
Apesar de todo vírus de
computador ser um tipo de malware, nem todo malware é considerado um vírus. No
primeiro caso, os invasores não conseguem se reproduzir nos dispositivos por
conta própria e dependem da ação dos usuários.
Malware, por sua vez, é um
termo que caracteriza todos os tipos de softwares maliciosos que podem
prejudicar uma máquina. A seguir, confira as características dos principais
vírus e malwares que podem prejudicar os computadores e a segurança da
informação da sua empresa.
Arquivo
Esse tipo de ameaça
contamina, exclusivamente, arquivos executáveis do sistema operacional — ou
seja, aqueles com final .exe ou .com. Por outro lado, eles são ativados apenas
quando o usuário abre o item infectado. Por esse motivo, é essencial baixar e
abrir apenas arquivos de fontes confiáveis, sobretudo se eles forem enviados
por e-mail.
Cavalo de Troia (Trojan)
Desta lista, talvez o
Cavalo de Troia seja o malware mais popular. O objetivo dessa ameaça é ficar em
constante execução, sem ser notada pelo usuário. O criminoso pode ter acesso
completo ao computador da vítima, monitorando todas as suas atividades no
dispositivo.
Dados bancários, senhas,
arquivos e outras informações confidenciais podem ser visualizadas e utilizadas
contra a companhia. Esse comportamento tende a negativar a reputação do IP
corporativo, gerando impactos indesejados aos negócios.
Um exemplo de repercussão
prejudicial são as diversas soluções de segurança de perímetro, que analisam
blacklists e bloqueiam todos os tráfegos realizados com IPs que estão listados.
Adware
Os adwares tendem a
parecer programas confiáveis. Entretanto, depois que são instalados, passam a
monitorar a conexão com a internet a fim de acionar outros malwares. Além
disso, possibilitam a apresentação de propagandas indesejáveis nos navegadores.
Outro problema é que também facilitam a prática do phishing, que entenderemos
melhor a seguir.
Backdoor
O backdoor é normalmente
contraído por meio de caixas de e-mail ou páginas da web. Esses vírus abrem uma
“porta de trás” — como sugere a tradução — para que os hackers consigam se
aproveitar do dispositivo.
A liberação da ameaça
também só acontece após o arquivo infectado ser executado. Assim, a máquina
fica livre para a ação dos invasores. Em alguns casos, o computador vira uma
espécie de “zumbi” e colabora com outros ataques na internet.
Boot
Por fim, temos um dos
vírus mais destrutivos. O boot afeta os programas responsáveis pela
inicialização do disco rígido do computador. Esses arquivos são fundamentais
para a correta atividade do sistema operacional. O problema é tão grave que o
vírus pode impedir que os usuários acessem os próprios dispositivos.
Softwares desatualizados
Essa é uma das principais
portas para cibercriminosos. Softwares desatualizados representam uma das
formas mais fáceis de invadir servidores empresariais, pois a falta de
atualização recente torna os equipamentos vulneráveis.
Muitos vírus e malwares
são destinados a versões mais antigas dos sistemas exatamente porque é mais
simples de explorar vulnerabilidades que já foram corrigidas em alternativas
recentes.
Por isso, quando um
usuário deixa de baixar uma atualização ou mantém softwares antigos sem suporte
do fabricante, a organização fica sujeita a falhas e ataques. Esse upgrade
representa correções e melhorias na segurança. Assim, o caminho do ataque fica
mais trabalhoso.
Deixar o ambiente virtual
desprotegido representa grandes problemas para os gestores, como perda de
informações estratégicas, vazamento de dados sigilosos, interrupções nos
negócios, danos à credibilidade e prejuízos à reputação da empresa.
Logo, é vital manter o
suporte do fabricante para receber todas as atualizações de segurança dos
softwares. Depois, incentive os colaboradores a fazerem a instalação assim que
receberem o aviso.
Phishing
Essa é uma prática em que
o invasor envia mensagens por e-mail se passando por uma instituição confiável
e legítima — em geral, como bancos e serviços de transações online — induzindo
a vítima a fornecer informações pessoais.
Apesar de ser uma das
armadilhas mais antigas e conhecidas da internet, ainda assim o phishing atrai
muitas vítimas que fazem uso de e-mail. Atualmente, essa prática vem sendo
utilizada em ataques de Business Email Compromise (BEC).
O objetivo é fazer com que
os gerentes da empresa-alvo acreditem estar em contato com outros executivos.
Assim, as companhias fazem depósitos bancários em contas de terceiros sem saber
de que se trata de um golpe. O maior problema é que os criminosos não deixam
rastros, pois as mensagens não apresentam links ou anexos.
Ransomware
É um tipo muito nocivo de
software, que bloqueia o acesso a todos os dados e cobra um resgate para que o
sistema retorne ao normal ― muitas vezes, em criptomoedas. Essa prática está
crescendo, e muitas empresas acabam cedendo à pressão, por medo da invasão.
Porém, os especialistas em
segurança reforçam que, antes de qualquer decisão ou pagamento, a empresa
atacada deve buscar ajuda da polícia ou de uma equipe especializada em crimes
cibernéticos.
Criptografia
A criptografia realiza o
estudo das técnicas e dos fundamentos pelos quais as informações podem ser
transformadas para formas ilegíveis. Dessa maneira, elas são reconhecidas
apenas pelos seus destinatários, o que dificulta a ação de pessoas não
autorizadas.
Essa é uma das ferramentas
automatizadas mais importantes na segurança das redes e das comunicações. Por
meio da chave de acesso, apenas o receptor pode fazer a leitura e a
interpretação dos dados com facilidade. Portanto, a criptografia se tornou uma
das principais medidas contra o risco de roubo das informações particulares.
Firewall
O firewall é um mecanismo
que controla o tráfego de dados entre as máquinas de uma rede interna e delas
com conexões externas. Para isso, são usados protocolos de segurança que
garantem o correto exercício da comunicação entre dois sistemas, de modo a
impedir ações intrusas.
Entre as principais
práticas dos invasores estão a venda de informações privilegiadas, o uso
inapropriado de dados financeiros de terceiros e o bloqueio do acesso aos
computadores para cobrança de resgate.
Como
configurar um firewall para manter os dados seguros?
Nas grandes corporações,
com mais de mil colaboradores, a tarefa de configurar um firewall é,
naturalmente, muito mais complexa. No entanto, em uma empresa de pequeno e até
médio porte é possível fazê-lo de forma relativamente simples. Para isso, você
pode seguir os passos conforme descrito a seguir:
- obtenha um firewall de um fornecedor
confiável;
- se já tiver um, atualize-o para uma
versão mais recente de firmware;
- estabeleça restrições de acesso, caso
ele possa ser configurado por mais de um usuário;
- faça a conversão de endereços de rede
(NAT) a fim de permitir que dispositivos internos se comuniquem na web
sempre que necessário;
- configure listas de acesso ACL;
- habilite o firewall como servidor de
protocolo de configuração dinâmica de host (DHCP);
- teste o firewall, verificando se ele
está bloqueando o tráfego conforme as configurações da ACL;
- volte ao segundo passo e atualize o
firmware sempre que houver a possibilidade.
O
que são certificados SSL e quais os seus principais tipos?
Utilizado para codificar
informações por meio da criptografia, um Secure Socket Layer (SSL) consiste em
um certificado que protege dados sigilosos que circulam na web. Trata-se de um
serviço prestado por empresas particulares que o concedem depois de submeter o
site a uma rigorosa auditoria.
Os certificados SSL são
especialmente indicados para empresas com operações online. Portanto, quem
trabalha com e-commerce ou m-commerce tem nesse tipo de selo uma proteção e uma
garantia quase obrigatória.
Isso porque, além de
transmitir mais credibilidade, um certificado desse tipo garante para o site
posições de destaque nos resultados da busca orgânica do Google. Veja então os
três tipos de certificados SSL mais utilizados e saiba como eles protegem suas
informações.
Domínio
Modalidade de SSL mais
popular dentre as mais conhecidas, o SSL de domínio fornece segurança básica e
atesta a segurança de um domínio. É indicado para empresas de pequeno porte por
ter custos acessíveis, já que a criptografia empregada também é básica.
Organização
Já os SSL de organização
estão numa prateleira acima dos de domínio. Isso porque, fora os serviços
básicos de segurança, ele também fornece ao público dados sobre a empresa
portadora do domínio. Sendo assim, é indicado para validar a existência física
do negócio, sua credibilidade, bem como a segurança de suas transações na web.
Estendido
Nível mais alto de
certificado SSL, nele, a empresa pode ter seu nome destacado nos browsers, no
espaço antes do domínio. É bastante indicado para grandes empresas e
plataformas de e-commerce com altos volumes de vendas.
Vale
a pena investir em tecnologia?
Segundo uma pesquisa da
Gartner, estava previsto um gasto mundial de US$ 124 bilhões em 2019, e
seus maiores impulsionadores eram:
- riscos de segurança;
- necessidades de negócios;
- mudanças na indústria.
Afinal, aqueles que
trabalham em colaboração com a segurança cibernética sabem que não existe
organização 100% segura. Podemos mitigar os problemas com segurança, mas não é
possível estabelecer sua extinção, infelizmente.
Sem dúvidas, o
gerenciamento de riscos deve ser o primeiro planejamento a ser feito para
conseguir justificar os investimentos com segurança da informação.
Outra questão que
demandará muito investimento em nível mundial é a preocupação com a privacidade
dos dados e, é claro, as multas salgadas que virão se a empresa não seguir as
novas políticas de governança ― estimuladas principalmente devido à adequação
dos sistemas para o GDPR e, no Brasil, a LGPD também.
Medidas preventivas
Não vale a pena chorar
sobre o leite derramado. Uma vez que a informação de um cliente é vazada, nada
pode ser feito sobre isso. Você pode registrar uma queixa, informar as
autoridades sobre a infração e esperar que a lei resolva o problema.
Mais uma razão de
trabalhar constantemente para impedir vazamentos futuros. Veja algumas dicas
para evitar uma violação de segurança em sua empresa:
- diminua as ameaças de ex-funcionários
realizando verificações de segurança rigorosas antes de serem contratados
e depois de terem saído;
- altere as senhas após a partida de todos
os funcionários que tiveram acesso a informações confidenciais;
- efetue uma verificação de segurança em
todas as contas oficiais e não oficiais e no correio de ex-empregados,
pelo menos uma vez por mês;
- mantenha uma verificação regular sobre o
fluxo de informações confidenciais da empresa;
- melhore os sistemas internos e garanta
que os departamentos de Recursos Humanos e de TI da sua empresa trabalhem
de mãos dadas para proteger informações vitais;
- colete feedback do local de trabalho dos
funcionários em uma base regular, para que você seja capaz de cortar pela
raiz qualquer possível ação dolosa;
- contrate controles de segurança e
gerenciamento de informações;
- implemente uma política BYOD ― Bring
Your Own Device (ou “leve seu próprio dispositivo”) se dispositivos móveis
pessoais estiverem sendo usados.
Por
que contratar uma empresa especializada?
A efetiva terceirização de
qualquer função de negócio requer definição, avaliação e estabelecimento de
entradas e saídas. Usando essas informações, uma organização pode abordar o
mercado e especificar claramente o escopo do que precisa e quais resultados são
esperados.
Entender o valor da função
facilita a análise de custo-benefício. Esse estudo deve justificar a
terceirização e levar em conta o custo de selecionar a melhor empresa. Como os
sistemas de segurança da informação são cada vez mais de natureza técnica, a
solução que os protege geralmente envolve:
- produtos de segurança como antivírus,
firewalls e detecção de intrusões;
- serviços de segurança, a exemplo de
gerenciamento de eventos de segurança;
- testes de penetração;
- teste de resposta a incidentes.
Embora os produtos e
serviços possam ser componentes significativos na solução de segurança de uma
organização, eles, sozinhos, não são tudo. O conhecimento pode e deve ser
garantido por meio de SLA ― Service Level Agreement, ou Acordo de Nível de
Serviço.
Esse documento rege
políticas, padrões e diretrizes e idealmente é financiado pelo comitê executivo
de uma organização. Muitas vezes, em pequenas e médias empresas, a segurança é
financiada indiretamente pelo departamento sob o qual ela reside.
Devido ao tamanho e ao
natural domínio das regras de negócios, a terceirização é extremamente difícil,
mas, de qualquer forma, precisa de uma SLA. Os métodos de detectar operações
incorretas ou falhas do sistema ou de infraestrutura exigem mais conhecimento
especializado.
Os fatores que contribuem
com essas decisões incluem obrigações legais, projeções de custo-benefício,
análise de risco e benefícios intangíveis, bem como obrigações éticas com o
conteúdo dos dados.
O lado financeiro da questão
Para permitir que a sua
diretoria financie a segurança da informação sem precisar entender a tecnologia
subjacente, os fatores relevantes geralmente são traduzidos em moeda, comumente
entendida como risco em dinheiro. Essa tradução, no entanto, é muitas vezes
incompleta e sempre requer maior interpretação.
Com um método tão
prejudicado na tomada de decisões e um risco aparente para o negócio, é comum
considerar que é melhor fazer alguma coisa do que nada. Os firewalls são
comprados e o IDS (Intrusion Detection System, ou sistema de detecção de
intrusão) é instalado com grande despesa.
Muitas das contramedidas
adquiridas podem atender a uma exigência óbvia para o engenheiro treinado, mas
o nível de investimento não costuma ser equilibrado. O nível de risco pode
justificar uma alocação significativa de fundos, mas nem sempre é possível
distribuir esses fundos da maneira mais eficiente.
Afinal, iniciativas podem
ser complexas em si mesmas ou o impacto delas ser difícil de entender. Por
exemplo, tente justificar porque a falha de segurança X, que nunca ocorreu,
pode ser mais perigosa e cara do que a falha de segurança Y, que ocorre
mensalmente, mas não é perigosa, pois o sistema já detecta, trata e apaga
qualquer resquício.
O
que avaliar na hora de contratar um serviço de cibersegurança?
É comum haver
terceirização das áreas de operações de segurança. Todavia, uma equipe dedicada
muitas vezes não é garantida e, para evitar surpresas desagradáveis, é preciso
considerar alguns pontos. Para começar, o que será feito pela sua organização?
Um bom MSSP ― Managed
Security Service Provider ou Provedor de Serviços de Segurança Gerenciados ―
não apenas examinará seu firewall, antivírus e correções, mas também terá uma
visão holística sobre como eles protegem seus clientes e garantirá as condições
para implementar as mudanças necessárias à organização, englobando:
- tecnologia ― UTM, firewall, wireless,
VPN, melhores práticas e gerenciamento de patches;
- gestão ― gestão de riscos, processos,
auditoria, relatórios e treinamentos;
- adaptabilidade ― recuperação de
desastres, continuidade de negócios, resiliência de negócios;
- conformidade ― consequência natural do
cumprimento das etapas anteriormente descritas.
O domínio do conhecimento
técnico, de acordo com as necessidades do negócio, assegura que a empresa MSSP
conte com pessoas que sejam especialistas em uma ou mais áreas de proteção
digital. Além disso, confirma o nível certo de educação, treinamento e
capacidade das pessoas que serão alocadas ao projeto.
O elemento humano
Outra questão importante é
verificar se a empresa terceirizada tem capacidade e pessoas habilitadas em
todos os níveis necessários para o atendimento da sua organização, sem gargalos
no atendimento. Ademais, o que ela fará para tornar sua vida mais fácil?
Existem alterações que serão recomendadas por um MSSP, por dois motivos:
- os sistemas que você tem em
funcionamento não estão fazendo o trabalho adequado e precisam ser
substituídos por sistemas mais seguros;
- os sistemas utilizados não podem ser
suportados pelo MSSP, porque eles não têm uma equipe especializada para
geri-los.
Então, se você acabou de
adquirir um firewall e o MSSP quer que você o substitua por outro, o problema é
o MSSP, e não o firewall. Nunca se esqueça, também, de que a companhia que faz
a terceirização de sua segurança digital é uma parceria.
Ela está lá para proteger
seus dados, sua infraestrutura, clientes e quipe. Você, inclusive, paga por
esse serviço. Então, certifique-se de que todas as partes envolvidas entendam
suas obrigações, colocando tudo detalhadamente em SLA.
Por fim, verifique quanto
custará. Sua empresa dará conta do valor mensal a ser pago ao MSSP? Esse custo
mensal precisa ser negociado também, sem esquecer possíveis reajustes. O custo
de um SLA de MSSP deve incluir monitoramento, gerenciamento e geração de
relatórios, mas não projetos fora do escopo. Por isso, tenha muita atenção
antes de fechar um contrato!
Garantias
A principal questão com os
aspectos de terceirização da segurança da informação é que, embora a intenção
possa permanecer a mesma, a garantia é bastante reduzida. Isso é melhor ilustrado
considerando os dois casos extremos.
Em uma organização onde a
segurança da informação é totalmente terceirizada, tudo está um passo adiante.
O contrato é com uma empresa de responsabilidade limitada, que oferece
estratégias de recrutamento desconhecidas e potencialmente subcontrata uma
série de funções.
Geralmente, há uma
oportunidade limitada de avaliar os indivíduos que estão realizando o trabalho,
mesmo que possam ser identificados. Os incentivos dados à equipe de
terceirização são desconhecidos e podem contradizer a intenção da função ser
terceirizada.
A padronização e seus limites
A padronização pode
fornecer uma grande ajuda para melhorar a postura de segurança de uma empresa.
Contudo, é provável que uma organização que dependa unicamente de padrões para
garantir a segurança tenha uma lacuna, como muitas vezes é demonstrado.
Tanto quanto possível, é
reduzido o escopo para que seja diminuído o custo do projeto — uma abordagem
razoável apenas se houver algo a esconder. Todas as organizações devem ter,
pelo menos, uma função de segurança designada. Enquanto a pessoa que detém o
papel não pode ser dedicada à segurança, o treinamento deve ser fornecido para
garantir um nível calculado de habilidade.
Qualquer contratação de
terceiros em serviços de suporte têm de ser gerenciada por essa função. A
terceirização da segurança em sua totalidade não é viável. Para manter um nível
de proteção próximo do objetivo delineado, um especialista em segurança precisa
definir as verificações e os balanços.
A terceirização de
operações de segurança é possível, mas há uma sobrecarga que precisa ser
considerada. As tarefas operacionais devem ser projetadas, e não o que o
provedor de serviços puder gerenciar.
As concessões podem ser
feitas para um fornecedor preferencial, mas garantir que o estado de destino
para as operações de segurança seja definido torna possível quantificar as
concessões e, se necessário, compensar em outro lugar.
Um rápido exemplo
Quando uma solução turnkey
está sendo comprada de um integrador, deve-se presumir que a segurança não foi
considerada até que se prove o contrário. Isso não quer dizer que os
integradores sejam negligentes, mas o foco de seus negócios é entregar o que
foi solicitado pelo menor preço.
A segurança em uma solução
não será necessária para entregar a função do usuário final e, logo, é
facilmente cortada sem reclamação. Uma parte independente, interna ou externa,
deve ser contratada para revisar a solução e garantir que os riscos
introduzidos sejam compreendidos e formalmente aceitos pela empresa, antes da
implantação.
Testes
O teste de penetração é um
serviço especial que é terceirizado em muitos casos. É uma demanda complexa, e
há um valor significativo em fazê-la independentemente. Também produz uma
entrega na forma de um relatório que torna fácil justificá-la. Devemos lembrar,
no entanto, que não é o quadro todo.
O teste de penetração não
deve considerar práticas operacionais que podem introduzir novas
vulnerabilidades tão rapidamente quanto as antigas são removidas. Frequentemente,
não há evidências de que o indivíduo que está realizando o teste seja
adequadamente qualificado para tanto, nem prova de que a maioria das
vulnerabilidades presentes foi descoberta.
Por
que os testes devem ser contínuos?
Independentemente da
função de segurança que está sendo terceirizada, o teste deve ser uma medida de
garantia continuada. As equipes operacionais têm de estar sujeitas a tentativas
de engenharia social e incidentes simulados, garantindo que sua resposta seja
apropriada.
Vulnerabilidades
conhecidas precisam ser incorporadas aos aplicativos antes do início do teste
de penetração, para garantir que eles sejam relatados. É claro que o teste é
necessário mesmo quando a segurança é totalmente originária de dentro, mas não
precisa incluir o teste da competência do terceirizado, uma vez que a
competência do pessoal interno já deve ser bem compreendida.
Componentes de segurança
podem ser entregues de modo eficaz por parceiros terceirizados, mas é preciso
mais do que esperar pelo melhor. A terceirização de componentes de segurança,
como qualquer decisão de negócios, deve considerar todos os impactos e riscos.
É preciso completar a devida diligência, gerenciar os riscos, implementar as
mitigações e, claro, monitorar os controles de garantia embutidos.
Proteger os dispositivos
responsáveis pelo armazenamento e processamento dos dados é fundamental para
manter a segurança da informação na empresa. É importante lembrar que essa ação
abrange muitos aspectos: tecnológicos, jurídicos, físicos, virtuais e humanos.
Ao buscar as melhores práticas, é possível manter a qualidade e a saúde
financeira da instituição.
Chegamos ao final deste guia supercompleto sobre segurança da informação com a certeza de que, agora, você tem o conhecimento necessário para proteger seus dados. Não se esqueça: segurança é um processo dinâmico, por isso, manter-se sempre a par das últimas inovações é fundamental.
Publicado por: Amanda Gonçalves
Comentários
Postar um comentário