Recentemente, muitas notícias, em grandes canais de comunicação, estão alertando e apresentando diversas empresas que foram impactadas pelos malwares do tipo Ransom (resgate), que criptografa os arquivos da empresa e solicita um valor a ser pago para o resgate. Gostaria, neste artigo, de apresentar alguns pontos de reflexão sobre o tema.
De forma bem didática, existe uma confusão quanto a forma de infecção deste malware. O primeiro ponto é que a maioria das empresas afetadas não foram “invadidas” no sentido que algum Cracker realizou um ataque direcionado à aquela empresa para criptografar os dados.
A diferença é que nestes casos de invasão, o Cracker está buscando o acesso naquela empresa alvo. Já os malwares Ransom e qualquer outro tipo demalware, trojan ou vírus são distribuídos, na sua grande maioria, de forma aleatória para milhares ou milhões de contas de e-mail de forma automática e utilizando as técnicas de Phishing (e-mail falso). Maiores detalhes dos conceitos de Phishing, acessar o artigo “Engenharia Social”.
Após está breve introdução entre as diferenças, gostaria de contribuir com alguns posicionamentos.
Boa parte das empresas e prefeituras impactas por este malware e que foram entrevistadas nos noticiários demonstraram baixo nível de maturidade em relação à Segurança da Informação. Se vocês, caros leitores, conhecem alguma empresa nesta situação de total indisponibilidade, analisem as seguintes perguntas:
Enfim, poderia elencar várias outras perguntas, mas o grande objetivo é contextualizarmos o cenário atual das empresas em relação a Segurança da Informação. Afinal, se a informação é um dos bens mais valiosos e críticos, dentro de qualquer empresa, prefeitura, escola, governo, por que não a proteger?
O ponto chave é que nós, seres humanos, não fomos educados a viver nesta era do conhecimento e do compartilhamento de informações. Não fomos educados, pelo simples fato de que na época dos nossos pais não existiam whatsapp, twitter, linkedin, facebook, entre outros. Não criamos a cultura conhecida de “comportamento seguro”. Kevin Mitnick informou no seu livro que 40% do investimento em Segurança da Informação deveria ser destinado ao treinamento de funcionários e campanhas de conscientização, justamente porque o elo mais fraco da corrente é o ser humano.
Este comportamento seguro, entre eles, criar senhas complexas, realizar a troca periodicamente, não compartilhar a senha, detectar quando um e-mail é Phishing, não repassar uma informação interna para terceiros sem antes validar a origem do solicitante, entre outros, só é criado nas pessoas através da conscientização. A mudança de cultura em qualquer ambiente só ocorre se a pessoa entender que aquilo faz sentido para ela.
Hoje em dia, as empresas não podem mais trabalhar somente de forma reativa quando o assunto é Segurança da Informação, visto que um incidente de Segurança da Informação poderá impactar toda a organização e os impactos serão em todas as vertentes (financeiro, imagem, reputação, credibilidade, contratos, obrigações legais e fiscais, entre outros).
Vale reforçar que o apetite pelo risco, ou seja, a decisão de aceitar ou mitigar os riscos envolvidos, deve ser tomada pela alta administração das organizações. Cabe a nós profissionais da área, apresentar estes riscos através de uma abordagem clara e estruturada.
Caso sua empresa esteja passando por este contratempo, existem praticamente duas formas de restabelecer a operação:
Para finalizar o artigo, o principal objetivo foi apresentar que, através de um planejamento estruturado de Segurança da Informação, com investimentos dentro do orçamento das empresas (indiferente do tamanho e setor de atuação), irá mitigar estes riscos relacionados à Segurança da Informação.
Caso tenham alguma dúvida, fiquem à vontade para entrar em contato!
Obrigado!
[Crédito da Imagem: Dados Criptografados – ShutterStock]
You must be logged in to post a comment.