Espiões das empresas
Desde criança a gente se acostumou a assistir a alguns filmes de ação com espiões. O famoso 007, de James Bond, foi e continua sendo um bom título quando falamos de personagens, geralmente vilões, que estão sempre prontos para atacar o mocinho. Felizmente, o lado do mal sempre é derrotado e a trama toda se fecha nisso. Contudo, nem sempre é assim.
A velha frase “a vida imita a arte” é muito utilizada e, ouso dizer, aplicada em situações que achamos não ser mais possível ir adiante. Há algum tempo eu assisti a um filme sobre invasões a redes de empresas. Hackers que investiam pesado para ganhar certa notoriedade em seu meio, adentravam os sistemas e conseguiam informações de todos os tipos. A película representa a realidade atual, mostrando como criminosos digitais simulam situações do dia a dia, como um e-mail do chefe ou de um colega de trabalho com links que ninguém jamais duvidaria ser falso.
Vamos pensar no seguinte cenário: um colaborador recebe um e-mail de seu gerente dizendo que ele deve verificar o link ou anexo da mensagem. Qual a primeira reação? Provavelmente, abrir imediatamente o que foi requisitado. Mas, e se eu disser que o conteúdo é o vírus que poderá contaminar a rede da companhia e, eventualmente, bloquear o acesso aos dados, solicitando resgates em dinheiro ou moeda digital para sua recuperação?
Isso pode acontecer e muitas empresas não estão preparadas. Os últimos acontecimentos mundiais de ataques generalizados – como WannaCry e Petya – mostraram que as organizações ainda estão carentes de proteção. Para ter uma ideia, a invasão por um hacker pode não ser descoberta imediatamente. O atacante pode instalar um programa malicioso em um sistema e ficar até 260 dias sem ser descoberto e o estrago, muitas vezes, já foi feito. Esse dado é do estudo sobre o custo da violação de dados realizado pelo Instituto Ponemon, patrocinado pela IBM Security, e nos mostra que apesar de muitas companhias estarem investindo em soluções capazes de blindar esses ataques e reduzirem o tempo de identificação de vazamento de dados, não existe fórmula mágica e que a conscientização de seus colaboradores ainda ajuda bastante na redução desses problemas.
Outro quadro comum é o do funcionário descontente ou que é contratado pela concorrente e quer se aproveitar do acesso livre aos dados para tirar informações estratégicas e bastante relevantes de domínio privado e que podem o beneficiar de alguma forma. E por qual razão me refiro exatamente a esses profissionais e não somente aos vilões? Pois, um ataque feito por um funcionário com intenções maliciosas sai mais caro do que falhas no sistema, erro humano ou ataques externos.
Dá para acreditar nisso? Pois é! O mesmo estudo mencionado mostra que cerca de 47% das empresas entrevistadas (um total de 419 organizações de 13 países, incluindo o Brasil) identificaram ameaças internas como a causa principal da violação de dados.
Hoje, o dia a dia de trabalho está muito dinâmico. Existem colaboradores engajados por meio de BYOD (Bring Your Own Device ou traga seu próprio dispositivo, na tradução livre) utilizando seus smartphones e tablets para realizar tarefas diversas, com comunicação e acesso a dados corporativos abertos e restritos. A minha pergunta é: quão seguros são esses dispositivos? As empresas os estão monitorando? Seus funcionários são treinados para não negligenciarem a segurança ou desviarem informações sigilosas para outros meios?
Tudo isso está colaborando com o aumento da complexidade em lidar com riscos de segurança e, obviamente, com as violações de dados. Trabalho ativamente com esse nicho e vejo isso ocorrendo constantemente. Para mitigarmos esses problemas que prejudicam a companhia, sua reputação e relação com os funcionários é preciso educá-los quanto às questões de segurança da informação, fazer uma análise criteriosa de candidatos no recrutamento, além de reter os funcionários experientes e que compartilham os valores da organização. É um trabalho conjunto entre segurança da informação e RH e que com certeza protegerá a empresa de problemas graves no futuro e podemos começar desde já!