De acordo com pesquisa anunciada nesta semana pela Fortinet, líder global em soluções completas, integradas e automatizadas de segurança cibernética, o Brasil sofreu 15 bilhões de tentativas de ataque cibernético em apenas três meses, entre março e junho deste ano.
Esses dados só reforçam que segurança cibernética é uma questão de sobrevivência das empresas. Em todo o mundo, 86% das corporações foram atacadas e a tendência, ao analisarmos pesquisas mais recentes sobre o tema, é que os números cresçam ainda mais em curto prazo.
“Diante da ação predatória de cibercriminosos, formar profissionais qualificados para trabalhar na área de segurança cibernética é uma demanda crescente e inadiável. Os avanços na legislação, o volume e a complexidade das ameaças fazem com que a capacitação e atualização frequente dos profissionais sejam imprescindíveis, assim como o aprimoramento dos meios acadêmicos na busca de soluções e adequação às urgentes necessidades do mercado. Na UniCarioca, a segurança cibernética tem foco na formação de profissionais que possam fazer a diferença no mercado, aumentando a defesa das empresas diante de incidentes capazes de comprometer seus negócios, gerando prejuízos gigantescos. Há aulas práticas em laboratórios e o experiente corpo docente busca constantemente atualização de informações, tecnologia e processos. Há ainda parceria acadêmica com grandes empresas do setor, como Cisco, Microsoft e Amazon”, afirma o professor da pós-graduação em Segurança Cibernética da UniCarioca Guilherme Neves.
Dicas sobre cibersegurança para evitar e entender o Sequestro de Dados de Empresas:
- Brasil como alvo favorito:Segundo país com maior número de ameaças de sequestro de dados na internet, o Brasil se tornou alvo preferencial do cibercrime. De acordo com levantamento da companhia de segurança digital Trend Micro, concentramos 10,75% dos casos globais, ficando atrás somente dos Estados Unidos, que reúne 11,5% dos episódios. Somente em 2018, a Trend Micro foi responsável pelo bloqueio de 1,8 bilhão deataques do tipo ransomware, ou seja, quando dados armazenados em um equipamento são virtualmente sequestrados, por meio de códigos criptográficos, e liberados somente mediante pagamento de resgate pelo usuário/vítima. É de fácil e rápida percepção, já que os dados ficam ilegíveis, embaralhados.
- Cuidados com e-mail:O Brasil ocupa também a incômoda terceira posição no ranking dos países em que circulam mais ameaças por e-mail. Uma das práticas mais comuns – e preocupantes – é o Comprometimento de E-mail Empresarial (BEC, na sigla em inglês). No BEC, criminosos se passam por um executivo de alto escalão a fim de enganar e aplicar golpes em funcionários. O estudo mostra ainda que o Brasil reuniu mais de 12 milhões de pessoas afetadas por ataques de URLs maliciosas, mais de 40 milhões de malwares detectados e 55 mil apps maliciosos identificados pela Trend Micro no ano passado.
- Ataquesde ransonware a empresas: Diante desse cenário ameaçador de insegurança digital, todo o dono de empresa tem, cada vez mais, obrigação de resguardar seus dados a fim de evitar sequestros e problemas que possam afetar de forma drástica a saúde do seu negócio. Umataque de ransonware se dá em três etapas: em primeiro lugar o atacante envia um e-mail fraudulento (phishing) ou coloca um malware (código malicioso) num site. O usuário entra no ou clica em um link no e-mail, esse malware abre uma porta dos fundos na máquina e instala um worm (malware que se propaga pela rede sem a necessidade de ação do usuário). Depois que todas as máquinas estão infectadas, o cibercriminoso copia os dados e começa o processo de criptografia para, finalmente, dar início à extorsão.
- Prevenção de ataques:Para evitar a contaminação dos equipamentos, recomenda-se que a empresa mantenha softwares sempre atualizados, ter proteção em camadas capazes de detectar a invasão, firewall, antivírus com inteligência artificial, políticas de segurança bem implantadas e um profissional capaz de coordenar, controlar e gerir todo esse sistema. Além disso, há delegacias especializadas em crimes digitais e a LGPD, lei 12.737/2012 que rege a Política Nacional de Segurança da Informação, que, infelizmente ainda esbarra na falta de infraestrutura e morosidade da Justiça.
- Combate ao cibercrime:Combater o cibercrime é tarefa bastante complexa. Se o Brasil adiar o enfrentamento, se tornará ainda mais frágil no ambiente digital. O meio acadêmico tem grande capacidade para colaborar com a busca de soluções, trabalhando na formação de profissionais gabaritados. É um processo que não pode ser postergado ou ignorado. Alimentar uma sensação de insegurança cibernética tem potencial para pôr em risco toda a economia e a própria segurança das instituições do país.
De que forma as políticas de segurança podem reduzir as condutas perigosas dos empregados
No início deste ano, o Facebook notificou seus usuários sobre uma falha no armazenamento de senhas. No blog oficial da rede social, o responsável pelo departamento de segurança informou que milhares de senhas haviam sido armazenadas sem criptografia. Por sorte, as senhas não foram vazadas, mas estavam desprotegidas.
O caso nos lembra que o comportamento de colaboradores é um dos maiores riscos para segurança da informação. Em pesquisa realizada pela ESET, líder em detecção proativa de ameaças, 64% das empresas afirmaram presenciar "ataques baseados na web", muitos dos quais tiveram a ver com funcionários navegando pela web ou usando o e-mail sem a proteção necessária.
Pensando nisso, a ESET explica como as empresas podem conscientizar seus colaboradores para proteger seus dados de maneira mais eficiente.
Capacitação
Vulnerabilidades e ataques virtuais são temas importantes, não apenas para os gestores, mas também para toda a empresa. Um dos principais papéis das políticas de segurança da informação da empresa, é educar todos os empregados sobre os riscos e os comportamentos perigosos.
Uma boa maneira de ensiná-los, é por meio de leituras de manuais de segurança da informação e pela assinatura de um contrato de confidencialidade de dados empresariais.
Porém, é também fundamental criar treinamentos nos quais profissionais de TI falem sobre as últimas técnicas de ataques de phishing, de engenharia social e como evitá-los, sobre segurança no uso de dispositivos USB, e que, ainda, expliquem sobre em que circunstâncias os smartphones podem conectar-se a redes corporativas, e como limitar a superexposição das atividades pessoais e corporativas.
Segurança da informação como aliada
Alguns erros de segurança de dados dos funcionários acontecem devido à falta de informação. Deixar importantes arquivos abertos, não fazer log off quando saem para ir ao banheiro ou tomar um café, são alguns equívocos frequentes. Compartilhar senhas pessoais e acessos a dados sigilosos também são condutas arriscadas.
As políticas e a capacitação para a tomada de consciência sobre segurança transmitem uma mensagem sobre o compromisso que a organização tem a respeito da proteção dos clientes, colaboradores, e dados da empresa; servem para especificar quais atividades infringem esse compromisso e quais são as consequências para os empregados que não cumprem as políticas.
O impacto de muitos ataques é proporcional ao tempo desde quando é detectado um problema, até que se adotem as medidas corretivas. Entretanto, muitos empregados não estão cientes deste fato ou não sabem como "alertar as autoridades", sobretudo quando podem ter represálias.
Portanto, outro objetivo chave das políticas e da capacitação para a tomada de consciência sobre a segurança, é educar os empregados para informar ocorrências que podem botar dados em risco. É importante que eles avisem sobre computadores e smartphones perdidos com rapidez, de modo que seja possível eliminar os dados armazenados de forma remota, informar sobre e-mails de phishing para que possam bloqueá-los antes que cheguem a outros empregados, e informar sobre indicadores de ataques para que a equipe de TI possa responder.
"A conscientização é o primeiro passo para evitar possíveis danos. A educação aliada a uma solução de segurança nos permite aos colaboradores uma utilização da Internet de maneira segura ", diz Carlos Baleeiro, country manager da ESET no Brasil.