Menu

Falta de cultura de segurança aumenta vulnerabilidade nos ciberataques

Falta de cultura de segurança aumenta vulnerabilidade nos ciberataques

Cenário recessivo faz com que as empresas não deem a atenção que a área merece

O megaciberataque que afetou empresas e serviços públicos de 74 países trouxe à tona questões que sempre estão na pauta do mundo corporativo em geral: a segurança. Até que ponto as empresas estão preparadas para enfrentar as ameaças, como a do software malicioso WannaCryptor que afetou os sistemas Windows? Será que a gestão de segurança recebe a devida atenção, já que poderia ajudar a lidar com as vulnerabilidades no ambiente de tecnologia?

O ataque evidencia a necessidade de investir nos processos de gestão que vai além do foco na resolução dos incidentes ou bloqueio de servidores infectados, mas na adoção de medidas preventivas. “É importante criar a cultura da segurança. Empresas costumam acreditar que vão comprar uma ferramenta mágica que resolve”, afirma Leonardo Militelli, CEO da iBLISS Digital Security, empresa brasileira de segurança da informação. “Segurança é um processo baseado em pessoas, tecnologias e procedimentos. É um chavão, só que o mercado ainda não entendeu”, completa o CEO.

O executivo destaca que é importante o mercado entender que o tema envolve diferentes níveis de maturidade. “Antivírus e firewall todas as companhias têm, porém são controles obrigatórios desde 2000. Só que as tecnologias evoluíram, os negócios se transformaram e a segurança também”.

Novos ataques no front

Conhecido por vazar o kit de ferramentas de espionagem da Agência Nacional de Segurança americana, o Shadow Brokers ameaça com novos ataques em junho. No blog, o grupo promete ferramentas para invadir dispositivos móveis que rodam com Windows 10 e dados roubados do sistema bancário ou de programas nucleares e mísseis Rússia, Irã, China ou Coréia do Norte. “Na próxima invasão, o grupo promete impactar os sistemas Linux e o estrago pode ser ainda maior”, alerta Militelli, da iBLISS Digital Security.

Atualização é fator crítico

Mais de 90% das vulnerabilidades críticas correspondem à desatualização dos sistemas, como aponta o relatório de ameaças publicado, no ano passado, pela iBLISS Digital Security. No caso do WannaCryptor, o software malicioso tirou proveito de uma falha de segurança que já havia sido identificada pela Microsoft em março deste ano. Na época, a empresa recomendou a atualização no Windows 7, 8 e 10.

A gestão das atualizações no ambiente corporativo pode se tornar um processo complexo para os profissionais de TI, considerando o grande número de máquinas conectadas à rede. “O ataque mostra que poucos equipamentos tinham sido atualizados. As empresas precisam se preparar para ameaças que

devem explorar falhas de configuração de sistemas, a falta de atualizações e até mesmo falhas 0-day que ainda são desconhecidas”, alerta Militelli.

O cenário econômico recessivo contribui para que as empresas não deem, de fato, a importância que o assunto merece. “Um dos primeiros pontos é ter uma visão holística da rede que hoje deve ter várias camadas de segurança. É preciso melhorar a governança e entender o impacto que a exposição de dados pode trazer”, afirma Marco Ribeiro, líder da prática de gestão de risco de TI da consultoria global Protiviti e professor de Segurança da Informação na FIA.

Para o especialista, as companhias pecam pela falta de um monitoramento contínuo para identificar os pontos de vulnerabilidade sujeitos a esse tipo de ação. “Nem sempre é possível ter um time qualificado focado na identificação dos pontos vulneráveis. Outro ponto é a falta de indicadores. As empresas já tomam precauções mas falta conscientização dos gestores”, ressalta Ribeiro, da consultoria Protiviti.

Outro desafio da cibersegurança é entender que comunidades hackers podem ter mais capacidade de desenvolvimento do que muitas empresas de médio e grande portes. Sem falar que as tecnologias usadas nos malwares e bots estão em constante evolução.

“Se a empresa entender os riscos aos quais está exposta e, a partir dessa análise repensar processos, poderá se beneficiar dos vários recursos tecnológicos disponíveis. Não é só a tecnologia que conta, ela é uma ferramenta”, destaca Ribeiro, da Protiviti.

Falta de legislação para dados sensíveis

A falta de legislação específica para a proteção dos dados sensíveis é outro entrave para a questão. No caso das empresas integrantes da rede de captura de pagamento com cartões, as normas são estabelecidas pelo Payment Card Industry Security Standards Council (PCI-SSC), fórum global responsável pelos padrões de segurança na proteção de dados de pagamento.

O fórum define o PCI Data Secutity Standart (PCI-DSS) que traz as recomendações mínimas de segurança obrigatórias para todas as empresas da rede como comércio e prestadores de serviços que processam, armazenam e/ou transmitem eletronicamente dados do portador do cartão de crédito.

O gerenciamento integrado de risco e de capital das instituições financeiras está previsto na resolução nº 4.557, aprovada pelo Conselho Monetário Nacional (CMN). Ela substituiu cinco resoluções antigas e exige a indicação de um responsável pela gestão dos riscos, desde a implementação até o acompanhamento de todo o processo. No Congresso, há uma movimentação para criar uma lei geral de proteção de dados no Brasil: o PL 5276/2016 que deixou de ser prioridade.

A União Europeia aprovou a GDPR (General Data Protection Regulation, na sigla em inglês) aprovada no ano passado e que deverá vigorar a partir de

  1. Nos Estados Unidos, há mais de dez anos, foi criada a lei Sarbanes-Oxley para garantir eficiência na governança corporativa ao estabelecer controles de garantia da segurança, integridade, entre outros aspectos da informação. Para cumpri-la, a TI tem de adotar o COBIT, framework de boas práticas de governança e gerenciamento de tecnologia.

Impactos deixam empresas fora do ar

Entre as que sofreram ação do malware, está a Telefónica, maior empresa de telecom da Espanha e controladora da Vivo, que teve mais de 80% de seus computadores infectados segundo o El Mundo. Outras empresas como a seguradora Mapfre e o banco BBVA também sofreram com o ataque.

No Reino Unido, as operações de hospitais públicos foram prejudicadas, por exemplo, com o bloqueio do acesso a prontuários médicos e problemas no fluxo de ambulâncias nas ruas. No Brasil, os sistemas do Itamaraty e do Tribunal de Justiça do Estado de São Paulo (TJ-SP) também sofreram invasões. A Petrobras adotou medidas preventivas e o INSS suspendeu atendimento e manteve os PCs desligados da rede. Só para mencionar alguns exemplos dos efeitos de uma invasão desse tamanho. “O custo de prevenir acaba sendo bem menor que o de remediar um ataque dessa proporção”, conclui o executivo da iBLISS Digital Security.

 

Deixe um comentário

Certifique-se de preencher os campos indicados com (*). Não é permitido código HTML.

voltar ao topo
Info for bonus Review William Hill here.

Finanças

TI

Canais

Executivos Financeiros

EF nas Redes