Segurança de dados deve estar no mindset das corporações

Ao ingressarmos no último mês de um ano dos mais desafiadores no âmbito da segurança de dados, onde os incidentes mais emblemáticos envolveram ações contra as redes ucranianas, parada nas plataformas oficiais do Ministério da Fazenda da Costa Rica e ataque de hackers chineses a sistemas de telecomunicações e mídia internacional, vale refletir sobre a forma como empresas e pessoas se relacionam com o ambiente digital.

O primeiro ataque hacker do qual se tem notícia (relatado nos Estados Unidos em 30 de novembro de 1988, quando um vírus descoberto por pesquisadores da Universidade Cornell, de Nova Iorque – EUA -, a partir de um código que atingiu várias vítimas, gerando prejuízos iniciais acima de U$ 100 mil), acendeu o alerta para uma batalha entre “o bem e o mal” que afeta pessoas físicas e jurídicas em todos os cantos do planeta.

Leia mais:

• Qual a diferença entre herpes-zoster e herpes simples?
• Carboidrato não é vilão nas dietas; entenda como
• Medicamento para Alzheimer mostra-se promissor, mas contém efeitos colaterais

Apesar da evolução na maturidade das companhias em relação à segurança de dados, sobretudo após a criação de leis e regulamentações em todo o globo (no Brasil a Lei Geral de Proteção de Dados – LGPD –entrou em vigor em agosto de 2020), o número de empresas que sofreram algum tipo de ataque cibernético nesse ano aumentou 10% em relação ao ano anterior. Os dados são da sexta edição do Índice Global de Proteção de Dados (GDPI), desenvolvido pela consultoria Vanson Bourne para a Dell Technologies.

Os números mostram que 86% das companhias ao redor do mundo tiveram operações prejudicadas por ameaças cibernéticas, frente aos 76% registrados no ano anterior, o que comprova que ainda há um caminho a ser trilhado para que se resolvam os gaps que precisam ser ultrapassados para inserir a segurança de dados de forma definitiva na rotina e no mindset das corporações.

Desmistificando a cibersegurança

Para fazer parte da cultura corporativa, a cibersegurança precisa ser melhor compreendida por todas as áreas críticas das empresas. É preciso simplificar a cibersegurança, trazê-la para perto das equipes como parte integrante da operação a partir do board. Muitos executivos não enxergam a segurança de dados como parte estratégica do negócio, importante na esteira de entrega dos serviços e vendas.

Para piorar, ainda há pessoas que confundem a área de segurança cibernética com o setor de TI, como um departamento à parte do dia a dia das operações.

Com o avanço das atividades online e a descentralização dos datacenters, desconhecer os princípios básicos da segurança de dados ainda é um risco iminente, mesmo diante de notícias diárias de ataques em organizações públicas e privadas consideradas protegidas, desde indústrias a companhias de abastecimento de água e energia.

Não é coincidência que em alguns casos relatados os invasores tomaram conta dos sistemas de automação, que trazem vulnerabilidades de sistemas legados com pouca visibilidade nas redes (Shadow IT). Não por acaso, pesquisas recentes apontam que 97% dos ataques às redes ocorrem em aplicativos de trabalho e equipamentos, a chamada IoT (Internet das Coisas).

Proteção de terminais e conscientização de usuários

Vale ressaltar que esses sistemas não costumam ser a porta de entrada, mas sim o alvo, justamente por serem mais desprotegidos, por estarem “à sombra”. Normalmente, são os terminais que abrem as portas para esses ataques, seja por meio de malware, aplicativo malicioso, ou link desconhecido que pode levar a uma página de phisinhg (site falso).

Nesse sentido, uma tendência em crescimento é a proteção de end points com soluções de MDM (Mobile Device Management ou Gerenciamento de Dispositivos Móveis), especialmente os devices não gerenciados pela empresa, como smartphones e notebooks pessoais que tenham acesso à rede corporativa.

Com a descentralização das redes e dos acessos, a busca por soluções de proteção de dados na nuvem tende a aumentar exponencialmente, associadas à aplicação do conceito Zero Trust (Confiança Zero) para autenticação e autorização de usuários. Nesse cenário, é esperado que o modelo Password Less – onde no lugar de senhas o processo de autenticação (ou dupla autenticação) ocorre por outros métodos, que incluem biometria, reconhecimento facial e token, entre outros formatos – ganhe mais espaço.

Mas não podemos esquecer de que quem está na ponta do terminal é um ser humano. Esse ainda é o elo mais fraco da cadeia cibernética, alvo visado nos golpes de Engenharia Social desenvolvidos por cibercriminosos que podem extrair – e utilizar – uma informação crítica obtida em diversas fontes, até mesmo em uma despretensiosa foto de rede social.

Keny Hayakawa Schmeling é Solution Architect, Trust Advisor e Latam Pre-Sales Manager da Cipher

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!