1 de out de 2018

Por que a segurança de dados e seus profissionais importam cada vez mais

Udacity Brasil

Segurança da informação pode parecer um tema chato e até desnecessário. Afinal, muita gente ainda acredita que ataques e vazamentos de dados acontecem, hackers estão sempre um passo à frente e que quem não tem nada a esconder, não tem nada a temer. Não é bom por aí – e o problema é muito maior do que parece.

Imagine, por exemplo, se um hacker tiver acesso aos dados de um serviço como a Netflix. Ele poderia imediatamente clonar os cartões de qualquer assinante e usá-los para fazer compras online. E isso nem é o pior: ele poderia usar os dados pessoais dos assinantes para se passar por eles, causando uma infinidade de problemas que poderiam muito bem ir além da questão financeira.

Felizmente, que se saiba, a Netflix nunca teve um vazamento de dados desse tipo. Mas em setembro de 2018, a companhia aérea British Airways confirmou que dados de pagamentos de mais de 380 mil clientes seus foram vazados. (E você provavelmente pode pensar em vários outros casos.)

Para os clientes, ter as informações de seus cartões de crédito circulando pela internet é tão perigoso quanto parece. Mas para a empresa, o problema é ainda maior: ela não só terá que compensar qualquer cliente seu que tenha sido afetado, como também pode estar sujeita a multas do governo.

Essa conta não sai barata. No ano passado, a rede de varejo americana Target teve que pagar US$ 18,5 milhões por conta de um vazamento de dados de seus clientes. E casos como esse acontecem por aqui também: em agosto de 2018, o Banco Inter confirmou que os dados de milhares de clientes (incluindo senhas de cartões e registros de transações) foram vazados.

O Ministério Público Federal, por ora, está investigando a empresa de análise de crédito Boa Vista SCPC por suspeitar que ela tenha vazado dados de mais de 350 milhões de cadastros de pessoas físicas e jurídicas.

Ou seja: segurança da informação é, sim, um problema enorme e crescente no mundo inteiro – e vai exigir um número igualmente crescente de pessoas capacitadas muito em breve.

E quem não sabe sobre segurança?

De acordo com Vagner Nunes, gerente regional para o Brasil da (ISC)², um dos principais problemas que o setor de segurança digital enfrenta é a falta de profissionais qualificados em cybersecurity. Vagner é autor do livro _The Cyber Skill Gap_, no qual cita que mundo deve ter um déficit de 1,5 milhão de profissionais de cibersegurança até 2020.

Em outras palavras, mais de um milhão e meio de postos de trabalho de segurança digital devem ficar sem serem preenchidos em menos de dois anos – e a demanda já se faz presente no Brasil. Segundo o Guia Salarial Anual 2018 da recrutadora Robert Half, entre 2009 e 2017, os salários por aqui aumentaram em média 9% ao ano.

Apesar do crescimento, para Vagner esse um problema que muitas empresas sequer sabem que têm. “A gente está ainda num momento de muita perplexidade. Às vezes as pessoas até sabem o que precisa ser feito, mas se você for ver quantas fazem isso de fato, são muito poucas”, diz.

A (ISC)² é uma organização sem fins lucrativos fundada em 1988 que vem, desde então, trabalhando para criar padrões e certificações de segurança digital. É ela, por exemplo, a responsável pela a CISSP (Certified Informations Systems Security Professional), que pretende garantir a competência dos profissionais certificados para trabalhar com a segurança de sistemas de informações no mundo.

Esses padrões e certificações são, segundo Vagner, o ponto essencial da segurança digital. “Eu vejo que as empresas investem primeiro em soluções pontuais. Mas precisam investir em standards, em processos”, diz. Ou seja, não adianta ter um único elo forte na corrente se os demais são fracos.

Leia também: Neural lace: como funciona e quem investe (de verdade) nesta promissora interface cérebro-máquina

Fortalecer todos os elos significa investir em certificações e no cultivo de uma cultura de segurança da informação, de acordo com Vagner. A situação é um pouco semelhante à da segurança no trabalho: não basta que um único funcionário use os equipamentos de proteção individuais (EPIs); é necessário criar um ambiente em que o uso de EPIs seja uma obrigação também “cultural”, além de já ser legal.

Para isso, é necessário investir em treinamento. Trata-se de um desafio, segundo Vagner, pois as empresas latino-americanas tradicionalmente investem muito pouco nesse setor. No entanto, ele vê esse aporte como essencial.

Em seguida, organizações devem investir também na contratação e retenção de profissionais qualificados para trabalhar nessa área. Mas devido à escassez de pessoas competentes, isso às vezes é até considerado fora de questão "por ser irrealizável”. Nesse caso, uma opção (que algumas companhias ainda relutam em adotar) é contratar uma empresa terceirizada para gerenciar a segurança de dados.

Leia também: O que é fake news e como a tecnologia ajuda a propagá-la (e combatê-la)

Segurança de dados e de informação: quais são os principais problemas?

A Real Protect oferece serviços desse tipo. Segundo seu fundador, Daniel Lemos, a empresa tanto revende equipamentos e softwares de tecnologia como também oferece profissionais capacitados para operar esses produtos. “É como escolher entre alugar um carro ou chamar um Uber”, explica.

Daniel concorda com Vagner que a conscientização das empresas sobre segurança de dados ainda está num nível muito baixo (e problemático). “O funcionário muitas vezes é uma forma eficiente do agressor entrar na empresa, então tem que haver uma cultura de comunicação e capacitação dos profissionais”, diz.

Em seu trabalho oferecendo soluções de segurança, Daniel diz que também percebe uma série de obstáculos para que as empresas invistam nessa área. Um deles é a noção já mencionada de que comprar uma solução pontual resolve o problema como um todo. “A tecnologia por si só não traz segurança: ela precisa ser pensada com os profissionais e o conhecimento”, justifica.

Trailer do documentário "Zero Days", que destrincha a criação do malware Stuxnet feito pelos governos dos EUA e de Israel para atuar contra as instalações nucleares do Irã – uma das frentes de cyberwarfare

Outro deles é a falta de sensibilização dos executivos para a questão. “Se você tem uma empresa de mineração, por exemplo, ou uma indústria, com dinheiro para investir, a pessoa vai pensar ‘eu invisto em produtividade ou em segurança?’ e quase sempre escolhe a primeira opção”, afirma. “E isso coloca em risco a empresa, os funcionários e os clientes dela.”

Há, finalmente, um problema de avaliação de parte das empresas. “Às vezes a empresa não fez uma avaliação correta do seu risco e quer uma solução super sofisticada, porque ouviu falar que ela era boa, mas não tem nem o básico ainda, então essa solução não vai garantir nada”, comenta.

Segundo Daniel, uma boa estratégia de segurança digital exige investimentos em três pilares: tecnologia, pessoas e processos. E o ideal seria que cada uma dessas áreas recebesse a mesma quantidade de tempo e dinheiro. No entanto, opina ele, atualmente entre 85% e 90% dos recursos dedicados a essa área vão para a tecnologia, o que deixa o tripé desequilibrado.

Isso deixa as áreas de “processos” e “pessoas” em desvantagem. A falta de investimento em processos e pessoas faz com que o dinheiro gasto em tecnologia muitas vezes não seja bem aproveitado.

Leia também: Ada Lovelace: quem foi a primeira programadora da história?

Deixar de investir em pessoas também gera outro problema: cria um ambiente de trabalho pouco adequado para os profissionais (já escassos) do setor. Segundo o _MIT Tech Review_, casos de stress, burnout e transtornos psicológicos entre profissionais de cibersegurança estão se tornando questões cada vez mais sérias, e os maiores eventos de profissionais da área já estão organizando discussões em torno desse assunto.

Apesar dessa situação, ele acredita que o nível de conscientização do mercado brasileiro deve melhorar. Isso não apenas por conta das crescentes ameaças como também de leis recém-aprovadas, como a GDPR na União Europeia e a Lei Geral de Proteção de Dados no Brasil.

Daniel acredita que, diante da obrigação legal de proteger seus dados, as empresas devem olhar para essa questão com novos olhos – e investimentos.

Melhores práticas para garantir a segurança de dados

Vagner reforça os principais pontos para garantir a segurança da informação:

  • Investir na construção e processos, não só em soluções pontuais
  • Investir em treinamento para que todos tenham consciência de seu papel

“Antigamente os ataques eram provocados por meninos brincalhões. Hoje em dia, você tem hackers patrocinados por governos. E um ataque bem feito pode apagar uma empresa de médio porte do mapa”, alerta.

Mais que isso: ataques desse tipo podem afetar também a infraestrutura e os serviços essenciais do país, como o ataque WannaCry que, em 2017, desativou 16 hospitais no Reino Unido. “No extremo, você tem o caos social”, diz Vagner.

Especialista explica ao canal CNN como funciona o ransomware WannaCry

Segundo o especialista, também é preciso que as instituições de ensino pensem em maneiras de orientar mais jovens para carreiras na área de cibersegurança. Afinal, a escassez de profissionais capacitados para atuar nessa área deixa o mercado com um “flanco aberto”.

Para os usuários, Vagner recomenda os cuidados de sempre: prestar atenção no que compartilha na internet, usar configurações de privacidade a seu favor e proteger suas contas com senhas fortes.

Também recomenda o uso de apps de gerenciamento de senhas: “eles geram senhas nada óbvias que o ser humano não tem como memorizar, e as guardam de maneira criptografada”.

Para Daniel, o essencial é que a empresa “tenha boa tecnologia e que seja bem operada”. Por boa, ele quer dizer uma gama de sistemas: antivírus, anti-malware, firewall, IPS (Intrusion Prevention System), de Host-IPS (um IPS que pode ser implementado em servidores e estações de trabalho) e de backup de dados. Manter esses sistemas atualizados e ter acesso a profissionais capacitados para operá-los é o básico. “A partir daí, a empresa precisa conhecer o risco que ela corre para tomar mais atitudes”, explica.

Por exemplo: se o maior risco que uma empresa enfrenta é o de vazamento de dados, ela deve investir em ferramentas de data leak protection. Se, por outro lado, trata-se de um e-commerce, vale mais a pena investir em um WAF (Web Application Firewall, uma espécie de firewall que analisa a rede) e em sistemas de prevenção a ataques DDoS.

Nanodegree Cybersecurity: conheça o novo curso de segurança de informação da Udacity

Daniel ainda reforça a importância de treinar funcionários para entender os riscos a que eles estão expostos. “Existem até alguns e-mails falsos que a empresa pode enviar, com cunho educativo. Se o funcionário clicar naquele link, o e-mail informa tudo que poderia ter acontecido de ruim”, conta.

É também uma forma de preparar esse cidadão para o mundo digital, visto que fora do ambiente de trabalho ele também está exposto. (Lembra das fotos da festa que ficaram ótimas e estão convenientemente disponíveis num arquivo ZIP anexado no e-mail?)

Finalmente, ele sugere que as empresas que tenham seus mecanismos de defesa organizados realizem testes de segurança. São os chamados “penetration tests”, “pen-tests” ou testes de penetração, que revelam quais são as vulnerabilizadas que esses mecanismos têm.

E é melhor descobri-las assim, por meio de um teste desse tipo, do que em uma situação de risco real.

Vá além:

Sobre o autor
Udacity Brasil

A Udacity, conhecida como a "Universidade do Vale do Silício", é uma plataforma online e global que conecta educação e mercado para ensinar as habilidades do futuro – de data science e marketing digital à inteligência artificial e desenvolvimento. Hoje, há mais de 7 mil alunos ativos no país e 50 mil pelo mundo.