Apesar da crescente preocupação com ataques cibernéticos, como os recentes episódios envolvendo a Colonial Pipeline, principal operadora de dutos de combustíveis nos Estados Unidos, e a JBS naquele país, além do maior vazamento de dados ocorrido no Brasil, as empresas têm implementado poucas ações para garantir a segurança de dados e de informação. A constatação é de Rodrigo Fragola, CEO da Ogasec, presidente da Associação das Empresas Brasileiras de Tecnologia da Informação (Assespro) de Brasília e Founder da Awaken People & Businesses. Fragola participou da reunião virtual realizada no dia 15 de junho pela Comissão de Compliance do Sinproquim para discutir o tema.
O cenário apresentado pelo CEO da Ogasec é preocupante. Segundo Fragola, os riscos de ataques de hackers ao setor privado para sequestro de dados e informações visando ao pagamento de resgate (ransonware) tendem a crescer rapidamente. Nos últimos anos ocorreram várias mudanças que explicam essa tendência. “Agências que trabalhavam para governos agora atuam no setor privado, as redes perderam fronteira, principalmente com o advento da computação em nuvem e do home office, a moeda digital favorece a rentabilização e o crime, baseado no anonimato, está cada vez mais organizado e ousado,” observa. Há hoje no mercado empresas especializadas, que podem ser contratadas pelas vítimas, para pagar resgates aos hackers com o objetivo de recuperação dos recursos. Para Fragola, estamos vivenciando a guerra da 5ª geração, em que os embates entre países e organizações ocorrem no espaço cibernético.
Um exemplo da sofisticação nesse tipo de crime é o ataque lateral, em que o hacker acessa o sistema da empresa-alvo por meio de um parceiro de negócios, de um funcionário, um distribuidor ou de um prestador de serviços. “A porta de entrada é um usuário. Após acessar o sistema, utilizando um mix de técnicas e ataques em várias etapas, o hacker pode explorar os processos internos e permanecer com acesso mesmo após ser descoberto”. Em sua apresentação, Fragola relacionou as quatro principais ações preventivas a serem adotadas pelas empresas: dispor de uma autenticação forte, realizar processos de atualização e correção, revisar periodicamente as regras de segurança e promover campanhas com funcionários, parceiros e clientes sobre para reconhecimento de golpes. “Segurança total dificilmente será alcançada, mas é possível ficar próximo a isso com ações constantes”, ressalta.
Pesquisa com associados
Na reunião, foram apresentados os resultados de pesquisa realizada pela Comissão de Compliance com as empresas associadas sobre a segurança da informação. Todas as empresas que responderam ao questionário afirmaram que mantêm os devidos controles da informação por meio do uso de tecnologia. As principais preocupações são com o vazamento de dados pessoais dos colaboradores (60%), formulação de produtos (40%) e dados da pessoa jurídica (30%). A maioria das empresas (70%) delegou à área de TI o controle de eventos relacionados à segurança. Os diretores da Comp9, Juan Musso e Sergio Woisky, além de Rodrigo Fragola, destacaram ser muito importante a criação de uma área específica para cuidar da segurança da informação. Segundo eles, a área de TI tem muitas outras funções e haveria maior eficácia com uma equipe dedicada exclusivamente a monitorar riscos, verificar a segurança de aplicativos e buscar constantes atualizações do sistema.