Segurança da Informação

Ξ Deixe um comentário

Porque poucas empresas levam a sério a “ CyberSegurança ”?

publicado por Luiz Eduardo Improta

Figura - Porque poucas empresas levam a sério a “CyberSegurança”?Semana passada fui ao evento, muito bom por sinal, de Segurança da Informação aqui no Rio de Janeiro e acabei de ouvir um “Webinar” também sobre este assunto que convergiram quase para o mesmo tema ao final e com uma conclusão bem parecida: falta conscientização das empresas a nível mundial sobre “Cyber Segurança” é alarmante. Contudo o que é “Cyber Segurança”? Esse termo surgiu na década de 80, junto com o termo de “Cyber Guerra”. Uma definição mais simples é de um conjunto de meios para visa proteger os ativos da informação, que estão sejam processados, armazenados e/ou transportados pela interconexão de sistemas. Atualmente a “Cyber Segurança” ainda é uma perna na área de Segurança da Informação, todavia como no princípio a Segurança era mais uma “bucha” para o Gerente de TI administrar, acredito que pela importância que vem tomando, brevemente se tornará uma parte independente, assim como a Segurança da Informação já é na maioria das empresas. Poucas empresas deixam a Segurança junto com TI, porque entendem, principalmente, que aumenta o escopo de TI, podendo trazer prejuízo para ambas as partes. Pronto, agora podemos continuar.

Primeiramente vamos olhar para nosso umbigo: as empresas brasileiras, em minha visão estão ficando em desvantagem nessa guerra, devido a nossa realidade econômica, pois motivos não faltam para acreditarem que estamos em uma “Cyber Guerra” e com “bandidos” que são muito, mas muito competentes, tanto em velocidade de criação quanto de estratégias para utiliza-las. A maturidade no assunto também tem influenciado as decisões de investimento. Algumas estratégias são realmente clássicas: engenharia social e “phishing” nunca saem de moda, entretanto as formas de explorarem essas técnicas tem ficado cada vez mais criativas e as empresas não acordam para isso e ainda que a forma mais eficiente de combate-las é a conscientização dos colaboradores. Uma coisa posso afirmar: o mercado hoje possui muitos profissionais capacitados para ajudarem nesse combate, mas precisam de ajuda para ir a esta complicada guerra. Já viu soldado ir à guerra apenas com vontade de vencer, sem armas?

Hoje o cenário é bem complicado nas empresas, como escrevi no artigo anterior, falta conscientização nas empresas de Segurança e ferramentas. Vou dar alguns exemplos comentados: segundo pesquisas de fabricantes de Segurança, como a Checkpoint e Kaspersky, por exemplo, em uma empresa a área de RH (recursos Humanos) é a porta de entrada para a maioria das infecções, pois recebe currículos em “PDF” e que hoje é a maior fonte de infecção dos formatos de arquivos. Há alguns anos atrás esse formato era sinônimo de segurança, quem não lembra disso? Os mais “cascudos” lembram com certeza. Outro detalhe interessante é que revela que 28,8% dos ataques de phishing em 2014 foram destinados a roubar dados financeiros dos usuários e empresas é claro. E o pior de tudo é que apenas 0,1% das empresas (a nível mundial) utilizam serviços de inteligência para se protegerem. Essa guerra é “injusta” pois parece um treino de “ataque contra defesa”, só que real. As perdas são astronômicas. Se as empresas fizessem as contas, chegariam a conclusão que o investimento em segurança saí mais barato que o prejuízo depois de um ataque bem sucedido. Fora a perda da “imagem da empresa”, o que na maioria dos casos, não há como mensurar.

Vejo essa situação como preocupante. Vejo nas empresas as mesmas frases: “não tenho problemas de segurança, nunca fui invadido”. Mas quando começo fazer as clássicas perguntas: você possui aplicação “web” e ele diz com força que “sim, possuo” e aí vai a pergunta mais importante: como você a protege de ataques? E escuto em alguns casos, que possui um Firewall tradicional e IPS, logo pode estar sendo invadido a tempos e nem se dá conta disso. Ou quando pergunto sobre proteção “Anti-DDoS” e ele me responde a mesma resposta. Depois comenta e com até um pouco de vergonha, que a empresa não possui condições de investir mais do que ele já tem. Isso a motivação dos “crackers” de criarem cada vez mais ferramentas de roubos de dados e invasão. Tal prática tem crescido exponencialmente, pois a área a ser explorada é grande, as vulnerabilidades estão presentes em toda a parte.

Diante de um cenário como este, o que me leva a acreditar é que as empresas ainda não olham a “Cyber Segurança” como prioridade, com o velho jargão de que só acontece com o vizinho e nunca comigo. Como disse, estas empresas podem estar sendo roubada há muito tempo e a área de TI e/ou Segurança, não detectam porque não possuem ferramentas e pessoal capacitado para isso. Querem que o pessoal de Segurança e TI, façam milagres e isso eles não conseguem. Lembram da Sony, da Target, TV5 Monde, etc…ao final de um ataque bem sucedido o(s) culpado(s) é (são) o “CSO” (Chief Security Officer), o Gerente de TI e por aí vai. Não acredito que eles não avisaram que com “chave de fenda” não dá para bater em “pregos”, só se bate em pregos com martelo. O problema, geralmente, é resolvido assim: demite esses caras e contratam outros. Depois de um tempo, se a empresa não aprender, vai demitir de novo, entrando num ciclo sem fim. Agora se eles não avisaram, pronto…realmente cometeram um erro. O problema se situa, em minha opinião, na “segurança percebida” e na “segurança real”, onde um percepção errada, pode trazer consequências desastrosas.

Para concluir, espero que as empresas acordem para a guerra que está ocorrendo e invistam mais em Segurança para que seus negócios tenham menos risco de perda. Segue quatro frases que sempre falo, em minhas apresentações:

  1. Não trate Segurança da Informação e/ou a Cyber Segurança como um projeto, que tem início e fim e sim como um processo contínuo;
  2. A Segurança da Informação e/ou a Cyber Segurança não te trazem lucro, mas diminuí suas perdas, onde esse ganho que aparecerá será proporcional a seu investimento;
  3. Soluções de segurança são criadas para serem adicionadas e não substituídas. Por exemplo: comprei um IPS, posso tirar o Firewall. O Firewall e IPS foram feitos com funções distintas e para trabalharem juntos;
  4. Nunca esqueça que a pessoas são o “elo” mais fraco. Não adianta investir muito sem a preocupação em conscientizar seus colaboradores em assuntos básicos, tais como: não clique em qualquer “link” que aparecer em um “e-mail” de origem duvidosa ou desconhecida.

Falei demais…me empolguei…o assunto é grande! Boa sorte a todos !

[Crédito da Imagem: CyberSegurança – ShutterStock]

  •  
  •  
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Sou profissional com mais de 22 anos de experiência desenvolvida em empresas do setor "outsourcing" em TI e Segurança da Informação. Com 2 Pós graduações e 1 MBA na área de TI e diversas Certificações em Segurança e Tecnologia da Informação, dentre elas: COBIT 4.1, ITIL v2 e v3, ISO27002 e CCSA/CCSE. Meu link no "linkedIn": http://br.linkedin.com/in/limprota007

Luiz Eduardo Improta

Comentários

You must be logged in to post a comment.

botão emergência ransomware (1)

Busca

Patrocínio

Publicidade




Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.