CIOs brasileiros detalham estratégias internas de conscientização para garantir a segurança no mundo digital
Com serviços digitais cada vez mais presentes no nosso dia a dia, algumas questões têm ganhado evidência. Nossos dados estão seguros? Empresas estão usando nossas informações – como CPF, endereço, e-mail e dados bancários – de forma ética?
As manchetes dos últimos anos trouxeram diversos casos de vazamento de dados e, como resposta, órgãos reguladores estão se mexendo para criar regras para o mundo digital. Na Europa, entrou em vigor em maio de 2018 o GDPR, General Data Protection Regulation (Regulamento Geral sobre a Proteção de Dados), que carrega dispositivos que exigem que as empresas protejam os dados pessoais e a privacidade dos cidadãos da União Europeia (UE) para transações que ocorram nos países membros da UE. O GDPR também regula a exportação de dados pessoais para fora da UE.
Em movimento semelhante, o Brasil também ganhou sua lei de privacidade de dados, a LGPD, sancionada no apagar das luzes do governo Michel Temer com o objetivo de aumentar a privacidade de dados pessoais e o poder das entidades reguladoras para fiscalizar organizações. O documento altera o Marco Civil da Internet e chega em uma época propícia, marcada por grandes vazamentos de informações e escândalos que envolvem justamente o uso indevido de informações pessoais.
Quando o perigo está dentro de casa
Muitas ações de conscientização têm sido realizadas para alertas sobre os riscos do uso seguro da Internet. Um deles é o Dia da Internet Segura, nesta terça-feira, 5 de fevereiro – iniciativa anual com objetivo de envolver e unir diferentes atores, públicos e privados, na promoção de atividades de conscientização em torno do uso seguro, ético e responsável das TICs, nas escolas, universidades, ONG’s e na própria rede.
A preocupação com ações voltadas a usuários é legítima, mas e as empresas? No mundo corporativo, os riscos de vulnerabilidades muitas vezes podem estar em um importante elo que está no dia a dia: os funcionários.
Para evitar esse risco, empresas têm dedicado esforços para ações internas.
Um dos casos é a Termomecanica, indústria do setor de metais. Walter Sanches, CIO da companhia, comenta que algumas importantes ações são realizadas. A primeira delas é mostrar as melhores práticas de segurança para abertura de e-mails, por exemplo, identificando o remetente, analisando links e arquivos. Outra recomendação é não abrir nenhum e-mail desconhecido, bem como não conectar nenhum tipo de dispositivo móvel. Nestes casos, a diretriz é acionar a equipe de TI. Ainda, outra ação básica de segurança da informação apontada por Sanches é a alteração obrigatório de senhas a cada 90 dias.
“Realizamos campanhas periodicamente. Na integração dos novos colaboradores, realizamos uma apresentação onde abordamos o tema segurança cibernética. Apesar da orientação de não conectar nenhum dispositivo móvel, temos programa de bloqueio das portas USB. Frequentemente alertamos todos os usuários, sobre sua responsabilidade e co-participação na Segurança da Informação da empresa”, comentou o executivo.
A Webmotors, um dos principais portais para compra e venda de automóveis no Brasil, também tem apostado em ações internas no sentido de garantir a segurança. Pedro Fleury, diretor de tecnologia da empresa, ressalta que existe a preocupação em termos de vazamento de dados. Por isso, uma das ações para conscientização foi um treinamento realizado no ano passado, quando especialistas de fora foram convidados para abordar o tema com a equipe.
“Temos olhado para ações, para a parte de engajamento, e também para a prevenção”, destacou Fleury. “É um reforço constante. Temos fóruns mensais com a imprensa inteira para apresentarmos resultados e com frequência abordamos esse assunto (segurança da informação).”
Assunto em voga
Sanches observa que o assunto segurança cibernética ganhou maior preocupação no final de 2010 com uma auditoria. “A partir daí começamos a refazer as políticas ligadas à segurança da informação. Todos os anos, entre agosto e setembro estabelecemos as ações de segurança da informação para o ano seguinte. Este plano é revisado dentro do ano quando há algum evento de maiores proporções (como o WannaCry) ou algum incidente que tenhamos sofrido”, explicou.
Este plano, segundo Sanches, trata de treinamentos a serem feitos com os usuários, conscientização por meio de material publicitário como fundos de telas e mensagens ou simulações de ataque seguidas de treinamentos bem como de implantação de novas ferramentas de segurança, revisão na arquitetura de segurança, auditorias externas e contratação de monitoramentos.
“O tema vem ganhando espaço ano a ano. As campanhas internas de conscientização bem como a divulgação feita pelos veículos de comunicação nos ajudam a colocar este assunto dentro da evidência necessária.”
Na prática
Fleury destaca que, no caso da Webmotors, não se trata apenas de cuidar da segurança dos cerca de 170 funcionários, mas também dos mais de 2 mil logísticas administrados pela Santander Financeira (o banco Santander é dono da Webmotors).
O executivo comenta que uma das principais vulnerabilidades está no tráfego de de informações. “Muita planilha era trafegada por e-mail, com informações de clientes”, lembrou.
Para garantir a segurança dos dados, a empresa criou uma aplicação semelhante a um CRM, em que os logistas trabalham toda a informação logada, com rastreamento de acesso e uma infraestrutura controlada para compartilhamento de informações internas.
“Antes eles trafegavam de 10 a 15 relatórios por semana. Agora está tudo em um mesmo aplicativo. O volume da dados trafegado por e-mail foi todo para a alocação”, explicou.
Em ação
Sanches lembra que, em março de 2017, a empresa sofreu um ataque do tipo crypto-ransomware, que “felizmente ficou confinado a quatro equipamentos e que devido ao sistema de backup conseguimos coloca-los em produção rapidamente (em menos de 30 min) minimizando os impactos.”
“Mas isto nos deu um susto enorme e revisamos todas as instalações para ter a certeza de que estavam atualizadas tanto em termos de sistema operacional como versão dos softwares de segurança. Certamente esta ação nos ajudou a passar ilesos pelo WannaCry em maio daquele ano”, afirmou.
Mas o que fazer em caso de roubo de equipamentos, por exemplo?
Na Termomecanica, em caso de roubo, o colaborador deve abrir um B.O e informar TI imediatamente. “Em caso de smartphones, utilizamos ferramenta de MDM onde é possível bloquear ou até mesmo formatar o dispositivo. Para notebooks, os dados são criptografados, onde em caso de roubo o HD fica inutilizável”, completou Sanches.
Dicas para Internet segura
O Núcleo de Informação e Coordenação do Ponto BR (NIC.br) divulgou algumas recomendações para navegar de forma segura e responsável na rede:
– Cuidado com e-mails e mensagens no celular que parecem ser de seu banco, do governo, da polícia ou do Poder Judiciário. Geralmente órgãos oficiais e instituições bancárias não usam comunicação eletrônica. Pode ser um golpe.
– Antes de iniciar sua compra pela Internet, leia os Termos de Uso e a Política de Privacidade da loja. Ali estarão regras e condições de utilização dos serviços oferecidos.
– Evite postar fotografias ou vídeos sem autorização das pessoas envolvidas, ou sem autorização dos responsáveis quando se tratar de menor de idade. No ambiente escolar, jamais poste fotografias ou vídeos dos alunos na Internet.
– Denuncie qualquer agressão física ou verbal que você ler na Internet, registrando ocorrências contra quem comete cyberbullying. Para denunciar, não se esqueça de copiar o link, fazer um print do perfil, comentários, imagens e enviar para os órgãos responsáveis.
– Utilize o controle parental. Apesar de nada substituir o diálogo e a mediação dos pais, a tecnologia pode ser usada como aliada para ajudar a proteger as crianças dos riscos da Internet.
– Respeite os limites de idade. Assim como desenhos, filmes e seriados da televisão possuem faixa etária recomendada, os sites na Internet também têm.
– Seja cuidadoso ao elaborar suas senhas. Use números aleatórios, grande quantidade e diferentes tipos de caracteres. Evite usar dados pessoais e sequências de teclado.
