Conjuntura - Segurança de dados

CONJUNTURA

 

 

ESTUDO AFIRMA QUE BOA PARTE DAS ORGANIZAÇÕES RECONHECE O VALOR DAS SUAS INFORMAÇÕES, MAS NÃO SABE IDENTIFICAR O QUANTO ESTÃO EXPOSTAS A RISCOS E AMEAÇAS

Empresas dos mais variados portes possuem um volume crescente de dados e informações em seus sistemas, o que torna a tarefa de protegê-los um tanto quanto árdua. Nas usinas sucroenergéticas não é diferente. Quem investe em segurança de dados nas empresas aposta em um método para garantir efetividade na proteção de dados: estratégias focadas em dar real atenção àqueles ativos digitais de maior relevância.

Em seu último estudo, a ISF (Information Security Forum), uma organização sem fins lucrativos internacional e que aborda diversos temas na área de segurança da informação, chamou esses dados de “joias da coroa”, afirmando que as empresas precisam saber como priorizá-los dentro dos sistemas e oferecer uma proteção customizada. Ainda de acordo com o estudo, boa parte das organizações reconhece o valor das suas informações em seus respectivos sistemas, porém não sabe identificar quanto dessas informações estão expostas a riscos e ameaças.

Neste ano o mundo foi tomado de surpresa com a notícia de um sequestro inusitado: o de dados. Em maio, o vírus Wanna Cry se espalhou por mais 150 países, incluindo o Brasil. Os computadores infectados tiveram todas as suas informações criptografadas e os criminosos pediram um resgate em bitcoins, uma espécie de moeda virtual, para liberá-las.

Os vírus do tipo “sequestrador” como o Wanna Cry são chamados de “ransomware” (código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate - ransom - para restabelecer o acesso ao usuário) já vinham fazendo estragos há muito tempo., mas este impressionou pela rapidez com que se espalhou e pela abrangência dos computadores infectados: mais de 230 mil. O crescimento deste tipo de ataque também salta aos olhos: o número de invasões passou de 3,8 milhões em 2015 para 638 milhões em 2016. É uma das ameaças mais assustadoras no mundo virtual.

Os ataques são orquestrados por verdadeiras organizações criminosas, que estão lucrando muito com falhas na segurança do acesso aos dados armazenados em computadores. No Brasil, segundo especialistas, as empresas reconhecem o valor de seus ativos digitais, porém, poucas sabem dimensionar a exposição a riscos desses dados. Felipe Jordão, gerente de Tecnologia para Segurança da Logicalis Latin America, explica que pode parecer óbvio, mas é fundamental ter um sistema de segurança para proteção dos dados de uma empresa, principalmente porque os negócios da maioria das companhias são baseados em sistemas e transações digitais.

“Proteger os dados e informações é proteger a continuidade dos negócios. O Wanna Cry é sempre um exemplo interessante. Algumas empresas foram extremamente impactadas pelo ataque, pois o ransomware criptografou a base de projetos, de negócios e de clientes delas. Diante disso, algumas empresas disseram que teriam que fechar as portas, pois não tinham mais sua base de conhecimento. Portanto, proteger os dados é proteger os negócios.

Um dos maiores problemas quando se trata de segurança virtual é a falha humana. As pessoas costumam ter medo apenas do que conseguem enxergar, então, a ameaça que vem por meio do computador não é facilmente percebida, já que é disfarçada pela falsa sensação de segurança que o ambiente de casa ou do trabalho proporciona. Atenta ao crescimento desses ataques, o setor sucroenergético tem dado atenção especial para o tema.

Ricardo Romanelli, gerente de Tecnologia da Informação da Biosev conta que os recorrentes cyber-ataques de escala global nos últimos meses demonstraram que todas as empresas precisam se preparar e investir mais em sistemas de segurança de dados. No entanto, o sistema é uma das peças desta engrenagem, mas não é a única. Preparar os usuários finais para detectar e informar possíveis tentativas de invasão (telefone, e-mail, links de websites acessados) é uma tarefa muito importante para a cultura de segurança de dados. Em resumo: ter os sistemas de segurança de dados não garantem 100% da segurança de suas informações.

“A Biosev possui um sistema de antivírus centralizado, o que garante que 100% de nossas estações de trabalho e servidores possuam sempre as definições de vírus mais atualizada. Procuramos também enviar comunicados para todos os colaboradores sempre quando há ocorrência de vírus ou ameaças em escala mundial, garantindo assim que todos fiquem cientes quanto aos cuidados que devem ser tomados no dia a dia”, revela Romanelli.

 Muitas usinas têm investido anualmente em melhorias em seus sistemas de segurança da informação, tanto sob a ótica técnica, quanto comportamental, por meio de campanhas e treinamentos. Fabio Mota, diretor de Tecnologia da Informação da Raízen, explica que a empresa mantem um ambiente backup para restauração em caso de danos. “Possuímos uma equipe interna focada em segurança da informação com funcionários e parceiros. A Raízen acredita que ter um quadro mesclado com equipe interna e externa garante maior entendimento da realidade dos negócios da companhia e correto balanceamento dos controles a serem aplicados. Nossos profissionais também recebem treinamentos periódicos e participam de eventos relacionados ao tema para estarem atualizados sobre tendências e boas práticas.

Romanelli: “O backup é o que
garante a disponibilidade e
integridade de nossos dados.
Trabalhamos com backups diários,
mensais e anuais para garantir a
recuperação de dados de forma
rápida e abrangente”

COMO SE PROTEGER

“Existem várias formas de invadir um sistema e elas compõem o que chamamos de superfície de ataque”, revela o gerente de tecnologia para segurança da Logicalis Latin America. Hoje, grande parte dessa superfície é baseada em tecnologias que de alguma forma se conectam à internet. Os dois principais meios de invadir um sistema são páginas com artefatos maliciosos ou e-mail, usando mecanismos de phishing (um tipo de golpe que usa mecanismos tecnológicos, geralmente baseados em mensagens, para persuadir e enganar as pessoas) links e anexos, e infecções baseadas em mídias removíveis, como pen drives e HDs.  Além disso, a invasão também pode ser realizada através do roubo de identidade. Nesses casos, as empresas podem ter inúmeros mecanismos de segurança, mas se alguém roubar a identidade de um dos colaboradores, será possível acessar o sistema se passando por ele.

A maioria das pessoas acredita que apenas o antivírus em seu computador já o suficiente, mas vulnerabilidade do sistema operacional abre uma brecha para o vírus e os ataques acontecerem. Após o ataque onde o Ransonware Wanna Cry atacou mais de 150 países, houve a divulgação da Microsoft recomendado que usuários de computadores ao redor do mundo fizessem as atualizações de segurança em seus sistemas operacionais. No entanto, pessoas e empresas não seguiram a recomendação e algumas foram infectadas por outro ataque hacker que explorou a mesma vulnerabilidade, o que demonstra que existem empresas não se preocupam como deveriam.

Lucas Costa Nunes da Cruz, coordenador de Tecnologia da Informação Usina Cerradão, relata que os sistemas de tecnologia das empresas precisam estar protegidos contra todos esses métodos de ataque. Os ataques recentes utilizaram falhas de segurança em sistemas operacionais desatualizados. Estes tipos de falhas podem ser exploradas em grande escala pelos hackers, como ocorreu em nível global neste ano. A simples atualização do sistema operacional pode inibir este tipo invasão.

“Outras ferramentas de proteção multinível são indispensáveis, como firewall e antivírus com as últimas definições de proteções. Aqui na Cerradão nossa equipe de T.I. procura verificar quais as vulnerabilidades divulgadas e as medidas de segurança respectivas às novas ameaças, e assim aplicar vacinas, atualizações e paths de nossas ferramentas de proteção, para manter o parque de máquinas imunizado”, adiciona.

Primeiro, as empresas precisam entender o que aconteceu. Hoje, uma dificuldade muito grande das companhias é saber que foram atacadas. Depois, o que realmente ocorreu. Uma das formas de se proteger é ter fechaduras na camada de prevenção. Além disso, com um mecanismo de gestão se pode, inclusive, dar uma resposta ao ataque. Quanto mais mecanismos a empresa tiver, maior vai ser a visibilidade das invasões e, se tiver pessoas que possam cuidar dessa gestão das informações, a capacidade de resposta será ainda mais rápida.

Não percebemos que o perigo está no mundo virtual, nos sites que entramos, nos arquivos que abrimos. É por isso que as pessoas continuam clicando em links desconhecidos, abrindo as portas para os mais diferentes tipos de vírus. Isso acontece dentro de casa e nos computadores das empresas, causando prejuízos bilionários.

As medidas incluem um estudo sobre as soluções e mecanismos de segurança mais importantes a serem implementados para aquele ambiente. Para cada sistema, as empresas vão precisar de mecanismos diferentes, por isso é importante um estudo do negócio e do ambiente a ser protegido. É preciso também fazer uma análise de vulnerabilidade de tempos em tempos para garantir a proteção e até mesmo testes de penetração (tentativas de invadir o ambiente) para identificar se, de fato, ele está protegido ou existe algum problema que precisa ser resolvido. Além disso, as empresas precisam fazer a gestão dos incidentes de segurança.

MEDIDAS BÁSICAS DE SEGURANÇA

• Orientar os colaboradores a não clicar em anexos ou links desconhecidos;

• Adotar políticas de segurança para os colaboradores;

• Manter os sistemas atualizados com os últimos paths e versões disponíveis;

• E implantar mecanismos que deem visibilidade e controle sobre as ameaças

 

 

De acordo com o gerente de
Tecnologia para Segurança
da Logicalis Latin America, a
preocupação de educar e fazer
treinamentos internos deveria ser
uma parte do processo de
educação por parte do RH
sempre que novos funcionários
entram na empresa

A PREOCUPAÇÃO COM A SEGURANÇA

Devido à divulgação dos últimos ataques de ransomware as empresas têm se preocupado mais com segurança e procurado tecnologias de proteção, mas os investimentos no tema ainda estão muito aquém do necessário para proteger as informações, principalmente se considerarmos a importância da segurança para os negócios. “Atualmente, poucas empresas têm soluções de segurança e a maioria delas não tem nem camadas de proteção, nem gestão que faça uma análise criteriosa do ambiente. É claro que existe uma diferença entre os setores. Alguns deles, como o financeiro, investe muito em segurança, porém, em vários outros, os gestores se preocupam, sabem que precisam investir, mas o tema ainda não está na agenda de prioridade”, salienta Jordão.

A medida que evoluem as formas dos criminosos digitais atuarem, as empresas precisam evoluir os programas que as protegem. Atualmente, explica o Coordenador de Tecnologia da Informação da Usina Cerradão, isso não está relacionado apenas aos computadores, mas também aos tablets e smartphones, que também possuem dados corporativos. “Muitas vezes especialistas discutem a respeito de que um simples pen drive trazido à empresa pode trazer perigo à rede de dados. Mesmo que a responsabilidade de “educar” seja da empresa, é muito importante que o colaborador tenha bom senso, pois pode de forma não intencional, executar objetos infectados recebidos em e-mails maliciosos ou pen drives.

Romanelli, gerente de Tecnologia da Informação da Biosev, relata que hoje é possível notar um crescimento exponencial em torno do assunto segurança da informação e segurança dos dados na indústria como um todo. O termo segurança da informação saiu da esfera das empresas do ramo financeiro e hoje é uma das áreas mais importantes para empresas de qualquer seguimento. “A partir do momento em que a informação gerada é mais valiosa do que os lucros de uma empresa, passa-se a ter uma maior preocupação com este assunto, fazendo com que se invista em ferramentas, estruturas e equipamentos que possam garantir a confidencialidade, disponibilidade e integridade destas informações”, afirma Romanelli.

Uma ação errada ou um vazamento de dados críticos para o negócio pode fazer com que empresas encerrem seus negócios, o que torna a segurança de dados algo primordial para todas as empresas, independentemente de seu tamanho. Atualmente, as empresas estão praticando o que especialistas chamam de conscientização em segurança da informação, disponibilizando mensagens na intranet ou via e-mail mostrando quais cuidados os colaboradores devem tomar quando o assunto é segurança de dados. “A Raízen mantém em seu ciclo de treinamento mandatório e periódico a realização dos mesmos. Além disso, regularmente realiza campanhas de conscientização”, afirma diretor de Tecnologia da Informação da empresa.

Apesar da preocupação de educar e fazer treinamentos internos estar em pauta, a ação ainda é pequena. “Isso deveria ser uma parte do processo de educação por parte do RH sempre que novos funcionários entram na empresa, juntamente com as orientações de horários e processos, entre outros. Há muitas situações em que a segurança não depende de um recurso tecnológico, mas do fator humano”, observa Jordão.

Para o coordenador de Tecnologia da
Informação Usina Cerradão, mesmo
que a responsabilidade de educar seja
da empresa, é muito importante que o
colaborador tenha bom senso, pois pode,
de forma não intencional, executar objetos
infectados recebidos em e-mails maliciosos
ou pendrives

BACKUP: UM IMPORTANTE ALIADO

O backup é uma poderosa ferramenta para garantir a disponibilidade do negócio em caso de falhas e ataques. Vimos isso no caso do Wanna Cry, quando muitas empresas precisaram restaurar os seus backups. Para se ter uma ideia, as empresas mais afetadas não tinham nenhum backup, um mecanismo importante, pois garante um dos pilares de segurança que é a disponibilidade. No entanto, a maioria das empresas não dá tanta importância para o backup, pois o nível de maturidade delas em relação a proteção ainda é baixo.

“O backup é o que garante a disponibilidade e integridade de nossos dados, portanto, é tratada como missão crítica dentro da Biosev. Trabalhamos com backups diários, mensais e anuais para garantir a recuperação de dados de forma rápida e abrangente”, afirma Romanelli.

Mesmo não tendo sofrido nenhum ataque, a Usina Cerradão se preocupa muito com o salvamento de dados. “Nos precavemos com backups diários e sistemas redundantes como medidas anti-desastres para nos resguardar de quaisquer acontecimentos inesperados como roubos de equipamentos, desastres naturais ou invasões cibernéticas. Criamos critérios para manter o backup otimizado, sendo feito de forma automática, redundante, off-line e na nuvem.”

“Não existe uma periodicidade padrão para salvar os dados, pois ela varia conforme o tipo de informação que será copiado, como forma de segurança. De qualquer forma, é recomendado que as organizações façam backups em pequenos intervalos para que a perda seja mínima, mas isso exige disponibilidade de infraestrutura. Portanto, o ideal é identificar a periodicidade mínima para manter as informações do seu negócio atualizadas no backup, levando em consideração a quantidade de dados e a frequência com que são atualizados”, finaliza o gerente de Tecnologia para Segurança da Logicalis Latin.