dados cripto

Parou TUDO?? Dados Criptografados!!

Recentemente, muitas notícias, em grandes canais de comunicação, estão alertando e apresentando diversas empresas que foram impactadas pelosmalwares do tipo Ransom (resgate), que criptografa os arquivos da empresa e solicita um valor a ser pago para o resgate. Gostaria, neste artigo, de apresentar alguns pontos de reflexão sobre o tema.

De forma bem didática, existe uma confusão quanto a forma de infecção destemalware. O primeiro ponto é que a maioria das empresas afetadas não foram “invadidas” no sentido que algum Cracker realizou um ataque direcionado à aquela empresa para criptografar os dados.

  • É utilizado o conceito de invasão, dentro da área de Segurança da Informação, quando uma empresa sofre um ataque planejado especificamente para aquela empresa, ou seja, o Cracker ou grupo de Crackers, estuda a empresa antes, realiza diversos levantamentos e direcionada um ataque específico para explorar alguma vulnerabilidade tecnológica ou não. Quando escrevo “tecnológica ou não” é porque o ataque pode ter sido originado por Engenharia Social.

A diferença é que nestes casos de invasão, o Cracker está buscando o acesso naquela empresa alvo. Já os malwares Ransom e qualquer outro tipo demalware, trojan ou vírus são distribuídos, na sua grande maioria, de forma aleatória para milhares ou milhões de contas de e-mail de forma automática e utilizando as técnicas de Phishing (e-mail falso). Maiores detalhes dos conceitos de Phishing, acessar o artigo “Engenharia Social”.

Após está breve introdução entre as diferenças, gostaria de contribuir com alguns posicionamentos.

Boa parte das empresas e prefeituras impactas por este malware e que foram entrevistadas nos noticiários demonstraram baixo nível de maturidade em relação à Segurança da Informação. Se vocês, caros leitores, conhecem alguma empresa nesta situação de total indisponibilidade, analisem as seguintes perguntas:

  • Existe na organização firewall controlando o tráfego de dados entre a empresa e o ambiente externo?
  • Antivírus corporativo no ambiente, instalado em todos os equipamentos e atualizado?
  • Restrição de categorias ou sites para navegação na Internet?
  • AntiSpam eficiente no ambiente?
  • Sistema de backup corporativo? Com estrutura física e lógica para garantir a integridade dos backups? O backup é feito de forma automática pelo software?
  • Política de Segurança da Informação implementada de forma eficiente dentro da empresa? Todos os funcionários tiveram treinamento? Campanhas de conscientização?
  • Normas específicas formalizadas para utilizar o e-mail corporativo? A Internet? O celular?
  • Quais foram os últimos investimentos realizados em Segurança da Informação?

Enfim, poderia elencar várias outras perguntas, mas o grande objetivo é contextualizarmos o cenário atual das empresas em relação a Segurança da Informação. Afinal, se a informação é um dos bens mais valiosos e críticos, dentro de qualquer empresa, prefeitura, escola, governo, por que não a proteger?

O ponto chave é que nós, seres humanos, não fomos educados a viver nesta era do conhecimento e do compartilhamento de informações. Não fomos educados, pelo simples fato de que na época dos nossos pais não existiam whatsapp, twitter, linkedin, facebook, entre outros. Não criamos a cultura conhecida de “comportamento seguro”. Kevin Mitnick informou no seu livro que 40% do investimento em Segurança da Informação deveria ser destinado ao treinamento de funcionários e campanhas de conscientização, justamente porque o elo mais fraco da corrente é o ser humano.

Este comportamento seguro, entre eles, criar senhas complexas, realizar a troca periodicamente, não compartilhar a senha, detectar quando um e-mail éPhishing, não repassar uma informação interna para terceiros sem antes validar a origem do solicitante, entre outros, só é criado nas pessoas através da conscientização. A mudança de cultura em qualquer ambiente só ocorre se a pessoa entender que aquilo faz sentido para ela.

Hoje em dia, as empresas não podem mais trabalhar somente de forma reativa quando o assunto é Segurança da Informação, visto que um incidente de Segurança da Informação poderá impactar toda a organização e os impactos serão em todas as vertentes (financeiro, imagem, reputação, credibilidade, contratos, obrigações legais e fiscais, entre outros).

Vale reforçar que o apetite pelo risco, ou seja, a decisão de aceitar ou mitigar os riscos envolvidos, deve ser tomada pela alta administração das organizações. Cabe a nós profissionais da área, apresentar estes riscos através de uma abordagem clara e estruturada.

Caso sua empresa esteja passando por este contratempo, existem praticamente duas formas de restabelecer a operação:

  1. Pagar o “resgate” das informações. Esta seria, teoricamente, a forma mais rápida para a continuidade do negócio, porém existe um risco iminente do Cracker receber o dinheiro e simplesmente não enviar a chave de decriptografia.
  2. O segundo cenário é realizar a restauração das informações através do último backup íntegro. O tempo para restabelecer 100% a continuidade do negócio seria maior se comparado com a primeira alternativa, porém mais seguro.

Para finalizar o artigo, o principal objetivo foi apresentar que, através de um planejamento estruturado de Segurança da Informação, com investimentos dentro do orçamento das empresas (indiferente do tamanho e setor de atuação), irá mitigar estes riscos relacionados à Segurança da Informação.

Caso tenham alguma dúvida, fiquem à vontade para entrar em contato!

Obrigado!

Fonte da imagem: Shutterstock

The following two tabs change content below.
Fundador da PDCA TI - Consultoria & Treinamentos. Atuação nos clientes de diversos segmentos e porte, visando a análise e evolução do nível de maturidade dos processos das áreas de Tecnologia da Informação (Governança de TI, Gestão de TI e Infraestrutura) e Segurança da Informação. Palestrante em diversos fóruns, empresas e universidades. Professor dos cursos online e presenciais promovidos pela PDCA TI. Maiores informações, acesse o site www.pdcati.com.br. Graduado em Sistemas de Informação; Pós-graduado em Governança de TI; MBA em Gestão da Segurança da Informação. Certificações: ITIL v3; COBIT; ISO 20000; ISO 27002; Amazon Contato: [email protected]

Latest posts by Gustavo de Castro Rafael (see all)

Deixe uma resposta