Camillo Di Jorge¹
O uso extensivo de dados pelos mais diversos segmentos corporativos já não é novidade. De acordo com o site da IBM, empresas gastaram em torno de R$ 4.72 milhões com reparos a invasões de sistema em 2017, e R$ 4.31 milhões em 2016. Reparar as invasões custa caro e acaba sendo necessário para empresas que não fazem uma prevenção adequada.
De acordo com dados do GSISS (Global State of Information Security Survey), apenas 45% das empresas fazem checagem periódica de seus dados, e menos da metade realiza uma análise da inteligência de segurança da informação.
Apesar das empresas ainda estarem em um momento inicial do processo de adoção da segurança cibernética, aos poucos, elas veem compreendendo o valor que seus ativos possuem. A criação da GDPR na Europa e da LGPD no Brasil reforçam ainda mais a necessidades de cuidar dos dados e das informações dos clientes, pois a falta de atenção a isso pode trazer consequências negativas.
A Lei Geral de Proteção de Dados (lei 13.709/18), sancionada em agosto do ano passado, visa a segurança de dados pessoais sensíveis, tanto online, como off-line, como RG, CPF, carteira de habilitação, além o número de telefone, e-mail, IP entre outros, e punirá quem não usar de forma adequada todas essas informações.
Para se adaptar à LGPD, as empresas deverão elaborar um Relatório de Impacto à Proteção de Dados Pessoais, que deve conter, pelo menos, a descrição dos tipos de informações coletadas, o motivo pelo qual os dados foram armazenados, quais foram os métodos usados para a coleta e para a garantia da segurança dos dados, e ainda, uma análise do controlador com relação às medidas.
Por esses motivos, é extremamente importante para as empresas se estruturarem com sistemas de segurança da informação confiáveis que permitam decisões otimizadas nos negócios.
A partir de 2020 (quando a lei entrará em vigor), empresas que não respeitarem a legislação, terão o bloqueio dos dados pessoais de clientes envolvidos, divulgação pública da infração, multas diárias, além de uma outra punição monetária de 2% dos lucros gerais, que pode chegar até R$50 milhões.
Muitas empresas de médio e pequeno porte ainda não acreditam que políticas de segurança da informação sejam benéficas para os negócios. Porém, se compararmos o valor gasto por PMEs com reparos nos sistemas que foram invadidos por malwares, veremos que o valor acaba sendo muito maior do que investir em um sistema confiável de segurança de dados.
A informação é um dos ativos mais importantes para as empresas e, para protegê-las adequadamente, é necessária uma solução de segurança que auxilie na gestão adequada das informações trafegadas.
Além desses pontos, é fundamental realizar ações de conscientização para educar os funcionários que lidam com informações. Protegendo os dados dos clientes, a empresa não terá preocupação com vazamento de dados, e não precisará gastar dinheiro com multas e reparos, o que geraria uma despesa altíssima e prejudicaria sua imagem. As empresas, portanto, devem ver a lei como algo positivo, o que realmente é.
5 dicas para proteger a sua empresa de ataques hackers
Após os recentes episódios de megaviolações de dados, brechas de sistemas operacionais, como do WhatsApp, escândalos de privacidade, grandes interrupções de TI e a aprovação de Lei de Proteção de Dados no Brasil, o risco cibernético mostra-se uma preocupação crucial para as empresas em todo o mundo.
De acordo com o Allianz Risk Barometer 2019, Incidentes Cibernéticos (37% das respostas) estão lado a lado com Interrupção nos Negócios (BI) (37% das respostas) como os principais riscos globais apontados por especialistas de 86 países, incluindo o Brasil. A pesquisa foi respondida por CEOs, gestores de risco, corretores e especialistas em seguros.
Independentemente do porte, como uma empresa pode proteger suas informações e os dados de seus clientes? A Allianz Global Corporate Specialty, AGCS, listou 5 grandes frentes às quais as empresas devem prestar atenção, diminuindo assim sua vulnerabilidade digital. Confira abaixo:
1 – LICENÇAS E ATUALIZAÇOES DE SISTEMAS: é fundamental que todo sistema operacional, softwares e aplicativos utilizados dentro de uma empresa sejam originais e licenciados. Softwares piratas normalmente possuem procedência duvidosa e podem trazer consigo “backdoors ou brechas no sistema para acesso remoto” criados para roubar os mais diversos tipos de dados, incluindo informações bancárias, senhas, dados estratégicos das empresas e dados pessoais dos funcionários.
As atualizações desses sistemas também são fundamentais, já que os desenvolvedores estão constantemente aprimorando e desenvolvendo proteções extras para os programas, minimizando as chances de acontecer um vazamento de dados, principal causa de incidentes cibernéticos no país.
2 – ANTIVÍRUS: 73% dos riscos cibernéticos envolvem vírus e malwares, portanto ter um antivírus de qualidade e atualizado significa detectar rapidamente qualquer nova ameaça que seja baixada nas máquinas e evita que o malware seja sequer instalado no computador. Versões corporativas devem ainda oferecer suporte técnico, o que é muito importante em pequenas empresas onde não existe uma equipe grande de TI, além de serviços de proteção que são mais completas que a proteção básica que utiliza um banco de dados de assinaturas de vírus, estas ferramentas podem se utilizar de análise de comportamento, inteligencia artificial, firewall, proteções contra Zero Days e até criam ambientes “isca” para que os invasores sejam atraídos e seus métodos revelados como parte de um grande esforço para mitigar as mais variadas ferramentas e técnicas que os invasores utilizam atualmente.
3 – ARMAZENAMENTO EM NUVEM: o armazenamento em nuvem, ou seja, em serviços cloud disponibilizados através da internet, é uma solução eficiente para hospedagem e sincronização de arquivos, evitando a necessidade de investimento em servidores. Porém, não se pode negligenciar o fato de que os arquivos que estão na nuvem são tão vulneráveis quanto os que se encontram em outros ambientes e precisam de proteções que vão desde as mesmas aplicadas ao ambiente data center até outras específicas para o ambiente cloud computing.
Alguns não se atentam que embora o ambiente cloud pode trazer segurança de infra estrutura apurada, alguém não autorizado pode obter acesso aos seus dados e comprometer suas informações assim como em qualquer outro ambiente.
Existem maneiras de diminuir os riscos contra algum tipo de ataque, como verificar a reputação do provedor de armazenamento, ativar a autenticação de 2 fatores, adotar uma política inteligente de senhas, utilizar ferramentas para segurança do transporte de dados para a cloud, seguir as melhores práticas de segurança recomendadas para qualquer software/sistema operacional, dentre outros.
4 – CAPACITAÇÃO DOS PROFISSIONAIS DE TI: companhias que possuem uma equipe interna de TI ou que contratam fornecedores externos, precisam atentar-se à qualidade do conhecimento destes profissionais. Cerca de 33% dos ataques cibernéticos têm origem em falhas técnicas e é aí que podemos perceber a importância de uma equipe de TI treinada em segurança da informação, fazendo com que possam utilizar-se das melhores práticas da cybersegurança e manter os dados da empresa seguros.
Existem diversos materiais disponibilizados através de entidades, empresas e outros meios que devem ser seguidos para mitigar grande parte dos riscos que são causados por negligência na execução das boas práticas na segurança da informação. Estes materiais são encontrados de maneira específica para cada solução como programação, gestão de servidores, redes, banco de dados, etc.
5 -TREINAMENTO DE TODOS OS FUNCIONÁRIOS: as medidas apontadas acimas só serão mais efetivas se os funcionários estiverem devidamente treinados quanto a uma administração segura dos sistemas informatizados, já que uma das formas mais efetivas de os atacantes conseguirem transpassar as medidas de segurança é o uso de engenharia social para enganar pessoas que possuem acessos desejados.
De acordo com a pesquisa da AGCS, 43% dos ataques cibernéticos têm origem em erros de funcionários; por isso é fundamental a educação de toda a empresa quanto à segurança da informação evitando principalmente ataques relacionados a engenharia social.
Informar as equipes para adotarem posicionamento seguro frente aos riscos de cyber ataques como por exemplo não abrirem um e-mail suspeito, não executar uma aplicação não autorizada, não utilizar dispositivos USB como pen drives, HDDs, celulares que não são confiáveis, são ações simples mas que são muito exploradas pelos atacantes.
¹Camillo Di Jorge assumiu o cargo de Regional Sales Director na ESET América do Norte em 1º de maio de 2019. Antes, Di Jorge foi Country Manager da ESET no Brasil.