Não existe “caixa mágica” na segurança da TI

Nos últimos anos, observamos o crescimento exponencial de ataques virtuais. Esses ataques, diferente do que muitos imaginam, não são praticados por “nerds” de computador exibindo seus conhecimentos, mas sim por empresas e quadrilhas extremamente capacitadas e profissionalizadas. Poucos executivos possuem conhecimento, mas é possível encomendar ataques de negação de serviços, resgate de dados, vírus, malwares, etc., desenvolvidos especificamente com os mais variados objetivos e motivações para o ambiente de uma única empresa.

O crime digital organizado, inclusive possui opções de acordo com os objetivos, por exemplo, é possível comprar uma lista de números de cartões de crédito válidos que possuem seu preço baseado no limite do cartão. Outro grupo é especializado em receber mercadorias ou converter o produto da fraude em dinheiro, outros se especializam em lavar o dinheiro de fraudes e não para por aí. Existe um mercado (demanda e mercadoria), altamente organizado, desenvolvido e em plena atividade.

Dessa forma a pergunta que os executivos passaram a ter de responder não é mais relativa ao “se” a organização “for” atacada e comprometida, mas “quando”, “onde” e “quais” dados foram comprometidos e as medidas tomadas.

No Brasil, diferente de mercados mais maduros e regulados, onde as organizações são obrigadas a divulgar publicamente quando e como, sua segurança foi comprometida, boa parte dos executivos ainda encara isto como uma realidade distante.  Algo que nunca acontecerá com a sua empresa e que ocorrendo poderá facilmente ser contornado. Não faz parte da cultura de muitos desses executivos se envolver na estratégia e na tomada de decisão referente à área de Segurança da Tecnologia da Informação.

Contudo, aos poucos, esta realidade está mudando. Cada vez mais os altos executivos estão sendo cobrados pelo seu envolvimento no ambiente da segurança da informação. A razão para esta nova postura é bem simples: são eles que representam a imagem da empresa. Uma vez que a imagem da companhia é comprometida, quem deverá se posicionar para reverter isto serão os próprios executivos, fornecendo respostas e ações satisfatórias para o mercado, clientes, acionistas e muitas vezes os próprios funcionários.

Mesmo que o executivo não tenha que vir a público assumir uma falha de segurança e todos os desdobramentos relativos, ainda assim é necessário explicar satisfatoriamente para os clientes e acionistas o motivo pelo qual o site de comercio eletrônico ficou fora do ar por várias horas em plena Black Friday, ou por que clientes não puderam pagar suas contas, por que o site do Internet Banking estava indisponível, ou ainda obrigar um tribunal a aumentar o prazo de todos os processos porque um advogado não conseguiu protocolar uma petição on-line.

Vejamos o resumo de alguns casos que podem exemplificar o impacto dos vazamentos de dados sigilosos:

Ashley Madison – O caso mais recente de 2015. Os hackers chamados de Impact Team roubaram informações de usuários cadastrados no site de relacionamento extraconjugal, Ashley Madison, e publicaram na Internet. Inicialmente, o resultado desta ação culminou com a queda de seu CEO, seis processos vindos dos Estados Unidos e dois do Canadá. A previsão é que esse número aumente vertiginosamente, visto que o site possui cerca de 40 milhões de usuários, e seja gerada uma grande onda de processos atrás de indenizações.

Sony Pictures  Hackers compartilharam 1 TB de supostos 100 TB de arquivos roubados.  Entre as informações, estavam conteúdos sigilosos de filmes que seriam lançados, conversas entre executivos, além de fortes críticas a alguns atores. O Wall Street Journal estipula que o ataque pode custar mais de USD $100 milhões à Sony.

Target  Após um vazamento maciço de dados em 2013, que resultou na exposição de informações de mais de 40 milhões de cartões de crédito e débito, a Target Corp foi obrigada a desembolsar cerca de USD $67 milhões para reembolsar instituições financeiras, o que danificou a reputação do varejista com compradores e resultou em corte em vendas.

Em geral na ocorrência de incidentes como esses, poucas empresas conseguem entender o que realmente ocorreu e a falta de informação, obriga os executivos a procurar uma solução para o problema pontualmente. Nessa situação “emergencial” surgem as famosas “caixas mágicas”. Produtos que prometem uma solução completa, integrada, líder de mercado, amplamente utilizada, resolvendo todos os problemas.

Realmente isso seria muito bom se fosse verdade, mas não se engane, isso não existe! Na realidade, diante de uma crise, o comportamento esperado dos executivos é calma, uma linha de estratégia estruturada e um plano de ação com medidas de curto, médio e longo prazo.

Pode parecer um raciocínio simplista, mas o executivo deve focar o time para responder algumas perguntas básicas:

·   O que proteger?

·   Por que proteger?

·   Onde proteger?

·   Como proteger?

·   Como assegurar que permanecerá protegido?

·   Como detectar, mitigar e reagir frente a um incidente de segurança?

 

Ao responder essas perguntas ficará claro para todos os envolvidos, qual a estratégia a ser seguida, aplicando de forma eficiente hardware, software e serviços onde realmente são necessários. Sendo possível acompanhar os resultados através de indicadores claros.

Mais do que isso, tornando esse processo contínuo, será formada e fortalecida uma cultura de segurança que deve permear toda a organização. Essas ações deixarão sua organização 100% protegida? A resposta é simples, NÃO! Mas, o deixará muito mais preparado para as ameaças atuais e as que ainda estão por vir.

Assim como não existe “caixa mágica” também não existe “segurança absoluta”. É um processo contínuo de reflexão, aprendizado e investimentos.

 

Fonte: CIO