Com o início da pandemia, muitas empresas foram para o modelo trabalho home office. Vimos casos de colaboradores carregando CPUs da empresa em transportes públicos e os números de ataques cibernéticos aumentando. Nossas políticas de segurança e de home office não estavam preparadas para um número tão alto de colaboradores trabalhando em casa. E aí veio a dúvida: como vai ficar a segurança da informação em tempo de pandemia?
Formos forçados a nos adaptar abruptamente, e se quisesse que a empresa continuasse atuando nesse cenário de pandemia, tinha que mudar rapidamente.
Nessa pandemia vimos muitas inovações acontecendo, vários processos sendo reestruturados, de olho no novo modelo comercial, todos preocupados com o que iriam entregar para os seus clientes. E quanto a essas inovações, vimos também o forte trabalho relacionado a segurança da informação em tempo de pandemia, e esse trabalho não aconteceu sem ter um por quê.
Com esse cenário conturbado de Covid-19, que todos estamos cansados de ver nos noticiários e redes sociais, os cibercriminosos encontraram um momento propício para seus ataques. Por que a temática segurança da informação e privacidade de dados está tão em voga nestes últimos meses?
Por que segurança da informação e privacidade está em destaque?
Quando estamos falando de pandemia, falamos de um cenário delicado, não é uma crise de apenas uma empresa. Quando falamos de pandemia, falamos de algo relacionado a macroeconomia, falamos da relação do mercado, dos impactos econômicos no país.
E também para responder a pergunta, vamos falar de números. A Fortinet, empresa de segurança de rede, realizou um estudo que registrou mais de 9,7 bilhões de tentativas de ataques cibernéticos na América Latina, sendo 1,6 bilhões de ataques apenas no Brasil. Nesse estudo foi apontado também o aumento de 131% no número de malware em março se comparado ao mesmo mês de 2019.
Ou seja, o assunto segurança da informação é ainda mais que necessário nesse momento, as vulnerabilidades aumentaram, e como consequência os números de casos de incidentes de segurança da informação também.
Alguns casos comuns são os famosos phishings, como e-mails falsos se passando por gerentes, e o colaborador clica no e-mail e é “pescado” pelo cibercriminoso. Outro ataque é o man in the middle, que acontece quando um cibercriminoso fica entre você a sua transação na internet, então em sites como internet banking o atacante fica “escondido” para ter acesso aos seus dados de acesso.
Tivemos vários casos na pandemia de engenharia social pelo Whatsapp, como mensagens promocionais da Netflix, ou até mesmo sobre o benefício que o governo liberou, nas mensagens os cibercriminosos chamavam a vítima para verificar se tinham direito ao auxílio emergencial, e a partir disso coletavam os dados desses usuários. E como aumentaram os casos de clonagens de Whatsapp! Tenho certeza que você conhece alguém que passou por isso, ou teve um familiar que foi vítima desses casos.
Formas de abordagem
Para nos ajudar temos dois contextos que podemos explorar. Na segurança da informação percebemos que há duas formas de abordagem para garantir a proteção dessas informações: a abordagem técnica, e a abordagem administrativa.
A abordagem técnica diz respeito a TI, sistemas invulneráveis, softwares de proteção, como antivírus, por exemplo. A abordagem administrativa diz respeito a procedimentos operacionais, compliance, treinamentos e conscientização.
Analisando as formas de ataques cibernéticos que aconteceram podemos afirmar que apenas uma abordagem dessas não é suficiente para a proteção das informações. Aconteceram desde ataques mais técnicos de malwares, como ataques que exploram a falta de informação do usuário.
Dessa forma, não adianta a empresa focar em todos os recursos técnicos, com VPN, antivírus, e etc se não trabalhar também na abordagem administrativa, com bons treinamentos em procedimentos, nas políticas de segurança da informação, em ações de conscientização e etc.
Mas também não adianta uma equipe bem instruída, e super treinada se a empresa possui vulnerabilidades técnicas, que são acessíveis por especialistas mal intencionados que passam e ultrapassam a vulnerabilidade existente na relação humana.
A dica é: tenha bons controles técnicos e administrativos!
Por onde começar?
Você pode começar esse trabalho pesquisando por frameworks que se adaptam a sua organização. Não precisa ser necessariamente uma certificação ISO 27001, você pode criar um formato de check-list dos controles da ISO 27001, ou outros frameworks que entreguem essa segurança em saber que as informações que estão sob suas responsabilidades estão seguras.
Ah, para não dizer que não deixei mais dicas para a segurança da informação em tempo de pandemia, fica aqui uma iniciativa que puxei junto com algumas pessoas do time de Segurança da Informação, time multidisciplinar que cuida da cultura da SI, chamado “Você Sabia?”, um dos temas foi justamente esse: Segurança da Informação e Home Office, disponibilizado pela nossa querida Lorenna Costa, responsável pelo trabalho de Desenvolvimento da Liderança aqui da ForLogic. Fique a vontade para disponibilizar na sua empresa e “copiar” a ideia.
Fonte: Blog da Qualidade