Qual é a fronteira para a segurança do seu negócio e de seu nome?
Longinus Timochenco, da Stefanini Rafael
O tema é crítico e emergencial, ainda somos usuários que terceirizamos as nossas responsabilidades na prevenção e cuidados para a maior segurança das informações. A geração da nuvem enfrenta desafios de segurança para armazenar esses dados.
A Internet não tem fronteiras, os negócios digitais já nascem globais, integrados e cada vez mais na nuvem. É preciso ter clara ciência que os “riscos e as responsabilidades“ devem levar em consideração os locais de atuação de sua empresa, assim como as informações de cidadãos e corporações de outros países para avaliar o seu limite de responsabilidades.
Em maio último, entrou em vigor a GDPR – General Data Protection Regulation, a nova regulamentação da União Europeia para a proteção de dados que também atinge empresas em qualquer lugar do mundo que tenham negócios com clientes na Europa.
Em julho último, o senado brasileiro aprovou a lei que cria padrões apropriados para a proteção dos dados pessoais e define as situações em que eles podem ser coletados e tratados, tanto por empresas quanto pelo poder público no país.
É fato que há um novo cenário e mercado mundial em formação. É necessário prezar pela “educação digital“ para elevar a maturidade no tema. Existem muitos usuários e empresas desinformadas e, consequentemente, altamente vulneráveis.
A falha de segurança divulgada recentemente pelo Facebook expôs dados de 120 milhões de usuários da maior rede social do mundo. Também alertou que os questionários da NameTests coletam informações que são consideradas sigilosas. Os dados dos participantes eram coletados e armazenados em um arquivo JavaScript, que poderiam ser facilmente acessados por criminosos e utilizados para fins maliciosos.
Cabe lembrar que nas últimas décadas tivemos inúmeros e estrondosos casos de vazamentos de informações que deixaram muitos aprendizados e provaram o quanto é importante investir em segurança.
Entre os principais fatores sobre como prevenir vazamento de dados em sua organização, vale alguns alertas: temos que nos responsabilizar por nossas informações, controlar quem, como e onde elas são utilizadas. Deve-se manter na nuvem dados de identidade e outras informações, além de fazer um gerenciamento inteligente e integrado de dados, de forma preditiva.
É importante proteger o CPF ou CNPJ para prevenir fraudes. A certificação digital, que comprova a identidade de pessoas físicas ou jurídicas, também assegura as transações on-line de documentos que necessitam de assinaturas entre as empresas, fornecedores, clientes e parceiros.
As ameaças internas se devem ao fato de que a TI tende a focar na segurança do perímetro da rede em contra-ataques externos e dá pouca atenção às atividades maliciosas que acontecem na rede. A crescente mobilidade de dados corporativos e dispositivos torna os roubos internos ainda mais vulneráveis. Diante disso, as empresas têm de repensar as suas estratégias de segurança para garantir que hackers não entrem.
Pesquisas mostram que a grande maioria dos ataques maliciosos internos é causada por funcionários insatisfeitos e que planejam deixar a empresa devido a cortes esperados ou por um novo emprego. Mas também as pessoas caem em ataques de phishing e clicam em links maliciosos em redes sociais.
É fundamental estabelecer políticas bem definidas e de fácil compreensão. No entanto, muitas empresas falham nesse ponto. Não se deve criar políticas apenas para ter uma lista de auditoria ou compliance. É essencial dar direções sobre requerimentos e comportamento esperados e definir, de forma explícita, atividades proibidas.
O risco de uma invasão e vazamento de informação está cada vez mais frequente. E não podemos ignorar que este também é um novo mercado do crime, afinal, quanto vale as informações para você e para o mercado? A prevenção tem que ser de forma preditiva e não mais proativa, dependendo do valor da informação ter que ser blindada ao extremo.
Este tema precisa sair da teoria e fazer parte do DNA das corporações e das pessoas. A segurança física é, geralmente, ignorada quando se pensa em prevenir ataques internos, mas o roubo é um crime de oportunidade.
É CISO – Chief Information Security Officer & Diretor de Governança Corporativa na KaBuM!. Tem mais de 25 anos de experiência em tecnologia e possui forte atuação em defesa, governança corporativa, risco & fraude, compliance e gestão de TI. Membro do Comitê Brasil de Segurança da Informação ISO IEC JTC1 SC 27 na ABNT Brasil, Timochenco desenvolveu uma série de trabalhos junto a consultorias e grandes corporações globais no gerenciamento de projetos estratégicos, auditorias e combate a crimes cibernéticos. Premiado – Security Leaders Brasil 2014 e 2016.
