Vírus, ataque, contaminação em massa. Esses são termos que se tornaram comuns no cotidiano dos cidadãos globalmente e, antes da pandemia de COVID-19, eram tratados apenas em situações muito específicas. Porém, quem faz a gestão de dados, informações, softwares e hardwares no mundo corporativo não pode dizer o mesmo: nesse ambiente, esses são termos comuns. Neste caso, o remédio já foi encontrado e já está disponível: a cibersegurança.
A própria palavra já diz muito sobre o que esse sistema de proteção: cybersecurity ou cibersegurança, em suma, faz referência a segurança tecnológica, de computadores, redes, hardwares, softwares. Na prática, essa ciência protege a privacidade de computadores, bancos de dados e sites inclusive de corrupção e outros atentados contra a integridade da informação. Não por acaso, é um tema e uma disciplina cada vez mais presente nas empresas, que reúnem uma imensidão de dados e informações.
“A segurança dos dados é um aspecto essencial da TI para organizações de todos os tamanhos e tipos e também é conhecida como segurança da informação (IS – Information Security) ou segurança dos computadores (Computer Security)”, explica Elcio Santos, CEO da Always On.
Contextualizando o cenário atual, ele menciona que o aumento e rápida disseminação das tecnologias de informação teve como uma das consequências o crescimento dos crimes cibernéticos. “Isto traz a necessidade da cibersegurança, de manter as informações das empresas livres de riscos e perigos que possam danificá-las”, defende.
Estratégia de cibersegurança
Dentro desse contexto, Santos acredita que, para evitar que os dados sejam corrompidos ou acessados indevidamente, é fundamental implantar uma política de segurança da informação. “Atualmente a informação é uma arma estratégica e um recurso de vital importância nas organizações”, diz. “Portanto, a segurança da informação é um recurso que tem por finalidade proteger e também é uma forma de gestão pois garante, em muitos casos, a continuidade do negócio, incrementa a estabilidade e permite que as pessoas e os bens estejam seguros de ameaças e perigos”.
Mesmo reconhecendo a importância do tema, são muitas as empresas que secundarizam a cibersegurança, a proteção da informação e da tecnologia. “Um ponto que sempre gera muita discussão é a equação entre o custo de se proteger contra uma ameaça versus o custo da recuperação se a ameaça o atingir”, afirma o executivo.
Agindo com antecipação
Para Santos, o ideal é que o investimento seja feito de forma preventiva. “Considerando que os dados são insumo imensuráveis, a proteção deles pode ajudar a evitar vazamentos, fraudes, espionagem comercial, vandalismo, uso indevido, sabotagens, perdas causadas por problemas no banco de dados, além de diversos outros problemas que possam prejudicar a empresa causados até mesmo por razões naturais, como incêndios e alagamentos” argumenta. “A segurança visa também aumentar a produtividade dos funcionários através de um ambiente mais organizado nas empresas”.
Apesar confirmar que essa é uma preocupação válida, não se pode dizer que a cibersegurança é simples de ser aplicada. “É preciso estabelecer diretrizes, mecanismos de segurança, riscos associados à falta de segurança, políticas e procedimentos, ferramentas de proteção e autenticação e relação custo benefício, além do mapeamento de vulnerabilidades, riscos e ameaças”, elenca o CEO da Always On.
Outro ponto que traz riscos para a empresa é o uso da internet na rede interna – algo que, é claro, é inevitável. O uso da Internet nas organizações trouxe novas vulnerabilidades na rede interna. “Para obter segurança em uma aplicação para internet ou intranet, é preciso cuidar de quatro elementos básicos: segurança na estação de trabalho, no meio de envio, no servidor e na rede interna”, explica.
Segurança na prática
Na estação de trabalho, ele explica que podem ser armazenadas chaves privadas e informações pessoais na maioria das vezes sem proteção ou controle de acesso. Além disso, elas estão sujeitas a execução de programas desconhecidos e outras armadilhas de ganho de acesso. “Um método usado para garantir a privacidade e a integridade das informações enviadas pela internet/intranet é a segurança na via por onde a informação circula, que faz uso de tecnologias como firewalls, criptografia, e outros”, explica.
A criptografia é uma ferramenta fundamental para garantir que a informação chegue ao seu destino sem que alguém (exceto o destinatário) faça uso da informação e é uma tecnologia que está sendo utilizada frequentemente nas empresas. “A criptografia resguarda a privacidade e integridade das informações, além de garantir a validade e a autenticidade das mensagens, remetentes e destinatários”, afirma o executivo. Na prática, ela transforma as informações em textos que são impossíveis de serem compreendidos enquanto a informação não estiver em seu local de destino. Ao chegar para o destinatário, ela se torna compreensível novamente – e tudo isso acontece em segundos.
Métodos
A possibilidade de conectar filiais distantes facilita o desempenho de muitas empresas, mundo afora. Contudo, é essencial destacar também os riscos que existem nessa estratégia. “A Virtual Private Network (VPN) é um instrumento seguro nesse caso, mas, exige cuidado em situações em que interliga a rede interna com um funcionário que possa estar em qualquer lugar – ainda mais durante a pandemia, quando muitas organizações optaram pelo home office”. Além disso, Santos aponta para a necessidade de uso de firewalls, mesmo quando estão todos no mesmo ambiente físico.
Apesar da importância da aplicação de estratégias de proteção contra ameaças externas, o CEO da Always On aponta que a maior parte dos problemas ocorre em função de ameaças internas. “Para se proteger nesse caso, uma solução completa abrange uma Política de Segurança Corporativa com definição clara das diretrizes, normas, padrões e procedimentos que devem ser seguidos por todos os usuários; um programa de treinamento e capacitação dos técnicos e usuários; recursos e ferramentas específicas para a segurança; monitoração constante da intranet e trilhas de auditoria.
LGPD
Como afirma Santos, é muito comum associar tais medidas de cibersegurança com a preparação para atender às diretrizes de Lei Geral da Proteção de Dados (LGPD). Porém, apenas adicionar algumas tecnologias e metodologias não faz com que as empresas estejam adequadas à Lei.
“De acordo com pesquisas da ABES – Associação Brasileira das Empresas de Informática -, 60% das empresas brasileiras não estão prontas para atender às novas regras da lei de proteção de dados”, menciona. “A maioria das organizações com as quais conversamos ainda não tem conhecimento dos principais fundamentos da segurança de dados e aquelas que conseguiram se tornar compatíveis não são necessariamente seguras”.
Assim, ele diz que, para evitar violações à LGPD, a segurança dos dados deve ser a prioridade da empresa.
