Devemos nos perguntar até quando deixaremos nossas informações desprotegidas a ponto de comprometer e causar prejuízos
Em função dos últimos ataques virtuais, o sinal de alerta soou e as empresas vêm gradativamente voltando a investir mais em segurança e tecnologia. O futuro é promissor, conforme aponta o Gartner. Em sua última pesquisa, o instituto prevê que em 2018 cerca de 90% das companhias terão algum tipo de estrutura relacionada à segurança de dados.
Apesar de sempre existirem ameaças virtuais, o conceito se popularizou há poucos anos por conta das ameaças passarem de ser vírus ou trojans para esquemas complexos de sequestro de dados ou de informações privilegiadas. Como é o caso dos atuais ransomwares e de pragas como Stuxnet, que são totalmente direcionadas a um fim lucrativo.
Vulnerabilidades chamadas de zero-day, até então nunca divulgadas, têm impactado todos os setores da indústria. Falhas como HeartBleed e ShellShock ou até mesmo recentemente a suíte de ferramentas da NSA, vazada na internet pelo grupo hacker autodenominado Shadow Brokers, a qual continha várias falhas zero-day, sendo a mais importante delas a vulnerabilidade Eternal Blue, explorada por hackers com o WannaCry.
Os ataques ocorrem por todos os lados. Segundo reportagem publicada na Reuters, o site de relacionamento Ashley Madison teve seus dados vazados obrigando a companhia a pagar 11,2 milhões de dólares como indenização aos seus clientes pela exposição de dados. Já a operadora de telefonia Verizon, uma das maiores dos EUA, também sofreu com a disseminação dos dados de seus clientes porque seu fornecedor, a Nice System, estava com um servidor na Amazon aberto para navegação, dando a possibilidade de hackers má intencionados baixarem os dados armazenados.
Conforme os sistemas evoluem, as ferramentas usadas para ataques cibernéticos também progridem na mesma escala. Com isso, as empresas precisam estar atentas a ter um processo de gestão de risco e compliance, contando com uma equipe dedicada especificamente na área de segurança da informação.
Devemos nos perguntar o quanto vale nossos dados e até quando deixaremos nossas informações desprotegidas a ponto de comprometer e causar prejuízos imensos. O alcance da internet em lugares onde antes não havia, a popularização de smartphones e tablets e todo esse crescimento de infraestrutura, desencadeou a facilidade de hoje de qualquer adolescente má intencionado ter a acesso a conteúdos privados.
Antigamente tínhamos os CPDs (Central de Processamento de Dados), onde ficava praticamente toda a infraestrutura de TI da empresa. Evoluímos e hoje temos data center, big data, auditoria, tudo colaborando para expansão dos setores de tecnologia, porém essa evolução amplia exponencialmente áreas que envolvem risco, compliance e segurança.
Na prática, as empresas devem criar times específicos com habilidades distintas, análise de vulnerabilidades, gestão de risco e incidentes. Caso não seja possível criar um time interno, a ação correta é contar com apoio de consultorias especializadas. Tudo isso de forma orquestrada para blindar o ambiente digital da empresa.
Como diversas pesquisas apontam, as empresas terão que invariavelmente investir em segurança da informação, adquirir ou contratar ferramentas e pessoal especializado. Dessa forma, quanto mais rápido esse investimento acontecer, mais protegida a empresa estará, evitando surpresas por conta das novas brechas de segurança para barrar, principalmente, a possibilidade de dados vazarem e resultar em prejuízos financeiros e para a reputação incalculáveis.
*Vivaldo Junior é IT Consulting na Protiviti, consultoria global especializada em finanças, tecnologia, operações, governança, risco e auditoria interna.
