Após crescimento de casos, debate sobre cibersegurança volta aos holofotes. Orientações são do head de cibersegurança da consultoria Yaman em Recomendações para Prevenção de Ciberataques.

Redação

São Paulo,26/07 de 2021.

2 Minutos

Sabemos que as empresas estão migrando para a nuvem porque é uma solução com um custo-benefício enorme, sem necessidade de CAPEX – investimento em bens de capital, como um banco de dados pago. Mas a nuvem não é como um servidor próprio. Por se configurar como um servidor compartilhado em diferentes áreas da empresa, sempre há um certo grau de risco. Assim, cada um desses segmentos deve tomar providências para torná-la segura, seja a partir de uma infraestrutura própria, de acordo com o serviço oferecido e o compliance do negócio, ou por meio da contratação de terceiros para fazê-lo.

O head de cibersegurança na Yaman, consultoria de qualidade e engenharia de software, estima que em torno de 80% desses ataques cibernéticos acontecem por meio de pontos vulneráveis no sistema, que não foram atualizados devidamente, como os patches – pacotes de correção de software lançados pelo fornecedor -, que corrigem vulnerabilidades, como acessos indevidos, e melhoram a funcionalidade.

Segundo A. Morelli, isso costuma ocorrer porque as empresas ainda não tendem a priorizar o risco. Idealmente, a segurança deve vir em primeiro lugar quanto trata-se de big data, antes mesmo da própria operação da empresa e dos sistemas. A atualização dos patches, por exemplo, deve ser realizada com prioridade, assim que são disponibilizados. Os bancos de dados devem “nascer” seguros e serem sempre acompanhados por profissionais de segurança.

Liberdade e facilidade para o crime

Mas se grande parte dos ataques se dão a partir de pontos que poderiam ser facilmente resolvidos, por que eles têm acontecido cada vez mais? Para Morelli, quando o assunto é cibersegurança, o Brasil enxerga a segurança de sistemas como um investimento sem retorno para a empresa.

A legislação do país não pune corretamente quem ataca as empresas que têm dados críticos vazados e, consequentemente, prejudicam clientes. O país carece de uma legislação mais atuante e com punições mais severas. “A Espanha prioriza muito a cibersegurança, por exemplo, no Brasil não é bem assim: a diferença são as leis”, comenta.

Segundo ele, quando o país tem uma legislação voltada para a cibersegurança e aplica multas de acordo com o grau de criticidade dos dados vazados, há uma preocupação maior com o assunto. “Mas a Lei Geral de Proteção de Dados Pessoais (LGPD) provavelmente melhorará esse aspecto. Por exemplo, algo que ainda se discute na tramitação da lei: as implicações para empresas que não a cumpram vão de uma advertência até uma multa de 50 milhões de reais, limitada a 4% do faturamento total da empresa. Para empresas pequenas, isso pode quebrá-las. Para empresas grandes é um problema sério de queima de imagem”, pondera.

Ainda de acordo com Morelli, um dos pontos mais críticos em uma invasão é o roubo da infraestrutura da empresa, que torna-se um negócio rentável para o ladrão. “O estelionatário consegue acessar esta infraestrutura por meio de um simples exploit – uma forma comum de se tirar proveito de uma vulnerabilidade em um banco de dados -, sem sequer intervir em qualquer sistema da empresa”, dessa forma, o hacker se torna “invisível”. Ataques como esse, cresceram 70% desde 2010 e alguns exemplos são: mineração de bitcoins, casinos virtuais e jogos online.

Vulnerabilidade e avanços na Lei.

“Já vi, pela Dark Web, cibercriminosos vendendo espaço de Cloud para que outros hackers pudessem atuar sem regras e custos”, ressalta. Estes sistemas clonados podem, inclusive, ser utilizados para ataques em massa a outras empresas. Roubos de dados como estes causam prejuízos de milhões para a organização clonada, porque para manter os negócios escusos, é necessário pagar por mais processamento e espaço, para que o negócio não seja impactado.

“Acompanho, por exemplo, a venda da infraestrutura de uma empresa de grande porte há mais de cinco anos e sempre me indago, quanto de estrutura na nuvem essa empresa teve que comprar a mais? Afinal, 30% do total da sua infraestrutura é usada por cibercriminosos”, questiona Morelli.

Ele oferece dez recomendações para prevenir sua empresa de ciberataques, de acordo com o especialista:

1. Antes de fazer um desenvolvimento de software em casa ou passá-lo para um terceiro, confira se ele atua a partir de uma cultura de DevSecOps, isto é, se configura um desenvolvimento minimamente focado em segurança.
   A qualidade deste também é um fator importante, porque ajuda a proteger o sistema de ataques. Tenha em mente que este ambiente deve ser controlado por sistemas de segurança inerentes ao desenvolvimento seguro.
2. Tenha um time de segurança com propósito único à segurança interna. É importante, inclusive, que ele responda diretamente para o corpo diretivo da empresa, para que consiga autoridade e liberdade de analisar de fora desenvolvimentos e desenvolvedores e relatar pontos críticos, vulneráveis e até aqueles que precisam de melhor investigação.
3. Recorra aos chamados Security Champions, isto é, transformadores culturais que atuam, dentro da empresa, como especialistas em segurança e difundem a importância dela para diferentes equipes, principalmente para as equipes de desenvolvimento. Eles também atuam como uma ponte de ligação entre as áreas de segurança e desenvolvimento (TI).
4. Invista no treinamento e capacitação da equipe de segurança e tome ações para que ela seja confiável. Os profissionais devem saber, por exemplo, que as senhas devem ser seguras e periodicamente trocadas, que não podem ter caracteres que identifiquem informações de fácil dedução, como a placa do carro ou o nome do filho de alguém.
5. Tenha uma boa gestão de sistemas e sempre aplique o chamado Hardening, que são as políticas de segurança focadas em garantir que o banco de dados esteja preparado para receber ataques. Além disso, faça a gestão dos patches. E isso deve ser atrelado à equipe de segurança, citada anteriormente.
6. Adote soluções adequadas para verificar se algum funcionário está tendo uma conduta maliciosa. Vazamentos de dados costumam acontecer internamente e não externamente. Por isso, plataformas que fazem uma análise comportamental dos profissionais são importantes. Darktrace é um exemplo de sistema que protege a rede corporativa da empresa de atitudes anormais.
7. Aposte em uma gestão de identidade muito bem atribuída, permitindo que os acessos de pessoas vinculadas à empresa e seus dados sejam monitorados. O sistema também deve ser sanitizado periodicamente: profissionais internos, ou terceiros, que executem projetos que requerem o acesso como “admin” devem, assim que se desvincularem da empresa, perderem o acesso ao sistema por completo.
8. Faça uma análise de vulnerabilidade em seu ambiente digital de três em três meses. Basicamente, trata-se de uma providência que consiste na busca e classificação de falhas na infraestrutura dos sistemas, bem como nos desenvolvimentos incorporados há pouco tempo – nestes é necessária uma análise de vulnerabilidade antes de entrar em operação.
9. Tenha um bom Threat Hunting: ferramentas e profissionais que investigam vazamentos de dados, possíveis tentativas de ataques, usuários maliciosos, páginas clone da empresa, ou venda de documentos desta, entre outros. Os threat huntings varrem a Dark Webe alertam a organização sobre potenciais ameaças.
10. Conte com um plano de gestão de crise muito bem definido. Saber quem acionar para “apagar o fogo”, quem vai falar com a imprensa, por exemplo. Fazer estudos de casos para entender cada elemento que fará parte dessa gestão.

Bônus: Esteja sempre atualizado com tudo o que acontece no mercado. É o caso de acompanhar o lançamento de Worms, por exemplo. São programas independentes que se replicam, como um vírus, por vários computadores da empresa, acessando-os por meio de falhas de segurança. Dessa forma, é possível identificar quais deles estão preparados para um ataque e quais não, e tomar as medidas necessárias.

Yaman é uma das principais consultorias em engenharia e qualidade de software, e segurança cibernética do Brasil.