Desafios da Segurança da Informação: O que vem por aí
Bastaram apenas dois meses para mostrar a que veio 2019.
Uma série de vazamentos de dados marcou o início do ano, revelando que esse tipo de ação maliciosa tende a continuar no foco dos cibercriminosos. Vulnerabilidade no módulo de pesquisa pública em instalações do Sistema Eletrônico de Informações (SEI) de órgãos públicos, brechas batizadas de Collection #1 e Collection #2-5, que expôs bilhões de credenciais de e-mails, entre outros, mostraram que os ciberataques devem continuar crescendo em número e agressividade, afetando organizações independentemente do porte e segmento em que atuam.
Casos de vazamento de dados tendem a continuar, especialmente em atividades que tenham algum tipo de clamor público. A tragédia em Brumadinho pode ser vista como um exemplo recente, já que poucos dias após o rompimento da barragem, hackers invadiram os sistemas da Vale com o intuito de obterem informações que pudessem responsabilizá-los ainda mais sobre o ocorrido.
Essa realidade mostra que as instituições precisam se proteger de uma ameaça em comum: os usuários. O phishing é e continuará sendo o meio mais eficiente pelo qual os cibercriminosos conseguem invadir as empresas. Isso porque eles estão sendo bem-sucedidos ao criarem táticas de invasão que burlam as ferramentas de proteção corporativa. E o pior é que os usuários continuam clicando em e-mails e mensagens falsas. O cenário atual exige medidas mais efetivas referentes a campanhas e ações de conscientização e prevenção de ataques via engenharia social.
Como o risco de um ciberataque é iminente, é mandatória a criação de uma área voltada para a Gestão de Crises. É preciso que as organizações tenham mais visibilidade de seus ambientes, elaborando estratégias específicas baseadas em riscos. Em casos de incidentes, a Nuvem é uma forte aliada das empresas, já que ao utilizar a tecnologia podem recuperar informações salvas em seus bancos de dados e minimizar os impactos de um ransomware, por exemplo.
2019 será o ano da consolidação da segurança?
Recentemente, regulamentações e leis importantes foram aprovadas a fim de tornar o ambiente digital mais seguro, sendo a Circular no 3.909 e a Resolução no 4.658, que tratam da Segurança Cibernética para empresas financeiras de meios de pagamentos e instituições financeiras, respectivamente. Além dessas, teve a sanção da Lei Geral de Proteção de Dados (LGPD), que deixou muitos executivos do C-Level preocupados com a responsabilização em casos de vazamentos.
No que diz respeito a LGPD, muitos gestores perceberam que se implementarem e certificarem um Sistema de Gestão de Segurança da Informação baseado na NBR ISO/IEC 27001:2013, poderão ter uma penalização atenuada (diminuição da liability). Por essa razão, vê-se muitas empresas contratando escritórios de advocacia para cuidarem da LGPD e acham que está tudo resolvido.
No entanto, mal sabem esses executivos que tais escritórios fazem apenas parte do trabalho, como interpretação da lei e ajuste em suas políticas e alguns processos, deixando de lado a implementação técnica da Segurança da Informação, como a elaboração do Programa de Conscientização sobre SI e Proteção de dados, Classificação e Inventário de Informações, Gestão e Revisão de Perfis de Acessos, Monitoramento do Ambiente e Gestão de Incidentes de Segurança e Anonimização de Dados Pessoais.
Sendo assim, é imprescindível que os gestores se atentem à importância de ter um parceiro tecnológico capacitado para desenvolver as melhores práticas e estratégias de segurança. A cada ano, a AuditSafe melhora seu quadro de funcionários com treinamentos internacionais, capacitações e novos serviços, como é o caso do PCI. Desde setembro de 2018, a AuditSafe é um Qualified Security Assessor (QSA) para o PCI e certifica empresa no PCI-DSS.
Para esse serviço, foi feito um investimento em nossa equipe responsável pelas Varreduras (Scans) de Vulnerabilidades, assim como pelos Testes de Invasão. Fortalecemos ainda mais nosso corpo de profissionais de GRC, responsáveis pelos trabalhos de Diagnósticos e Gaps (de segurança, ISO27001, NIST, PCI) para que sejam minuciosos e meticulosos em suas análises e gestão de riscos.
Ainda tem dúvidas? Entre em contato conosco.
