Segurança da Informação das empresas não pode ser deixada para depois

Celso C. e Lucas Vieira*

* Celso C. é gerente de engenharia de Software e Lucas Vieira é Engenheiro de Confiabilidade de Local da Revelo, startup de recrutamento em tecnologia líder da América Latina

O ataque hacker que uma grande varejista brasileira sofreu precisa ser encarado como um alerta para muitas empresas repensarem a segurança de seus sistemas. É muito provável que isso aconteça mais vezes e com mais frequência daqui para frente. Segundo a pesquisa da companhia de cibersegurança Trend Micro, no próximo ano, mais de 80% das empresas globais podem enfrentar essa crise.

A importância de proteger informações e agir contra o vazamento de dados vai muito além da responsabilidade dos profissionais de tecnologia da organização. Trata-se de uma preocupação de executivos que correm o risco de ver milhões investidos se perderem em bytes descriptografados. 

Desde o pequeno negócio até uma multinacional listada na bolsa de valores, qualquer empresa pode ser hackeada. Esses ataques geralmente acontecem por meio de ferramentas automatizadas, com a utilização de robôs que buscam brechas no sistema das companhias, sem fazer distinção do tamanho delas. E aí o estrago está feito.

Por isso, o primeiro passo é não economizar quando o assunto é segurança, independente do porte ou segmento das companhias. Durante um levantamento, a Fortinet, outra gigante da segurança online, ouviu diretores de TI de mais de 400 organizações públicas e privadas espalhadas em 17 países e anunciou que a intenção de 60% deles é investir pelo menos U$S 250 mil em tecnologias para a modalidade.

No caso das pequenas empresas, o dano pode ser ainda maior, pois mesmo antes de conseguir ser reconhecida, pode ter sua reputação manchada. E, no pior dos casos, ter um prejuízo financeiro tão grande que a leve a fechar as portas. O que acontece, por exemplo, quando o sistema é paralisado por dias seguidos e as consequências são irreversíveis.

Como ação preventiva e acessível para a maioria dos casos é contratar uma consultoria, em que os especialistas estão atualizados com as boas práticas do mercado e os ataques mais frequentes. Geralmente elas também oferecem ferramentas que fazem uma bateria de testes de segurança, gerando um relatório dos pontos fracos dos seus sistemas. Um diagnóstico bem feito já é um bom começo para se manter mais protegido.

Em caso de ataque, três passos cruciais devem ser seguidos. O primeiro é realizar uma gestão de crise com o cumprimento de alguns protocolos. Um grupo de profissionais deve ser designado para interromper todas as atividades não essenciais e focar totalmente na recuperação da operação. As etapas a serem seguidas podem variar de acordo com o contexto de cada empresa, por exemplo: interromper o ataque; bloquear a fonte do ataque; reunir a equipe dedicada à esse incidente; isolar as instâncias afetadas; análise por meio de linha do tempo do ocorrido; identificação dos dados comprometidos; entre outros.

Em segundo lugar, caso haja comprovação de vazamento de dados, aplica-se a Lei Geral de Proteção de Dados (LGPD) que prevê informe a todos que tiveram seus dados comprometidos sobre o acontecimento e, ainda, quais são as medidas que estão sendo tomadas para normalizar a situação.

A terceira medida envolve reafirmar a cultura da empresa para os colaboradores, ação que deve ser trabalhada diariamente, mesmo antes do ocorrido. Aqui o conselho é criar uma cultura onde as atitudes de cada colaborador tenha o objetivo de resolver os problemas e não ficar procurando culpados. Assim as pessoas se comportam da melhor forma possível em uma situação de crise. Foco, dedicação e trabalho é o que resolve nessas horas.

Os culpados por essas situações são, na verdade, os processos. E saber identificar isso é o que faz a equipe amadurecer e ter boas práticas que evitam novos problemas. Aprendemos isso com as startups que utilizam o método “Postmortem”, que consiste em reunir o time e analisar o que deu errado, para buscar correções e evitar que as falhas não voltem a acontecer: “Os principais dados do incidente foram coletados para a posteridade?”, “as avaliações do ataque estão completas?”, “nós encontramos a raiz do problema?”. Esses são alguns exemplos de perguntas que devem ser feitas durante o exercício.

Uma política rigorosa de backups, ou seja, ato de salvar arquivos e programas originais em servidores de segurança, é altamente recomendada para qualquer empresa, e sua frequência precisa ser alta - diríamos que diária, se possível. recomenda que cópias dos dados sejam feitas com frequência alta e armazenadas em uma infraestrutura diferente de onde estão os dados originais.

Como ação de prevenção, treinar rigorosamente o time de tecnologia em Site Reliability Engineering (SRE) com especialistas em segurança, infraestrutura e devops faz com que os desenvolvedores participem ativamente da gestão de incidentes e aprendem a lidar com as ferramentas de observabilidade, que mais tarde podem servir para auditorias e melhoria contínua da segurança de nossos serviços.

Não podemos deixar de realizar testes, testes e mais testes. Os profissionais da área estão cansados de saber que só com muita análise é que conseguimos ter a certeza de que um sistema vai funcionar como queremos e com segurança. 

É necessário falar com especialistas e buscar rotinas de segurança que se adequem à realidade dos seus sistemas. Para um cenário ideal onde as empresas possam crescer protegidas, todo cuidado é pouco.