Tecnologiahacker mexendo em um computador

Socorro!!! Sequestraram meus dados! Estão pedindo um alto valor como resgate e agora??? O que eu faço???

Como devo agir diante de tal situação? Poderia ter feito algo diferente?

Possivelmente você já passou por isso ou já ouviu casos de pessoas que passaram por isso. Mas ainda fica a pergunta: O que devo fazer para que os meus dados realmente estejam seguros?

Primeiro, é necessário entendermos alguns conceitos relacionados à segurança de dados. O que isso significa?

A segurança de dados é um processo que visa a proteção de arquivos, bancos de dados e contas em uma determinada rede ou de uma pessoa, levando em consideração o valor que possuem, seja de maneira individual ou para uma organização, protegendo-os contra a revelação, destruição acidental ou intencional por outros.

 

O real valor dos seus dados

 

No seu escritório, qual é o ativo mais importante? Seu imóvel? Seus móveis? Seus equipamentos? Todos estes também são importantes, porém,  o seu maior patrimônio são os seus dados. Se o seu imóvel ou móveis se deteriorarem ou forem destruídos, por mais que isso te cause um prejuízo, você conseguirá conquistá-los novamente, mas, e se seus dados simplesmente se perderem? Dificilmente você reverterá essa situação, isso sem contar com outros agravantes que poderão sobrevir. Se você ainda não se convenceu disso, farei uma breve comparação para que entenda o valor de tudo isso…

Imagine que em vários momentos felizes em sua vida (seja viagem, casamento, nascimento de um filho) você teve como hábito tirar fotos e filmar esses acontecimentos. Logo depois você arquivava tudo em HD. Com o passar dos anos, esse seu HD simplesmente deixou de ser um pedaço de metal envolto a um plástico resistente e passou a ser o seu bem mais precioso, justamente por conta do valor emocional que ele carrega.

 

Conhecendo os pilares de sustentação da segurança da informação

 

Os três pilares principais da segurança da informação são:

  • Confiabilidade:

o acesso à informação deve ser claramente limitado apenas a pessoas que possuem direito sobre a ela. Exemplo: qualidade das informações dos processos ou de clientes, senhas, dados relacionados a valores pagos ou recebidos, movimentações bancárias, etc.. Se houver falha ou vazamento de dados neste quesito, isso deixará você vulnerável a questões estratégicas internas, colocando em risco sua relação com outros.

  • Integridade:

a informação que é utilizada e manipulada não deve perder suas características originais, bem como deve ter um controle de mudanças realizadas por seus proprietários. Resumindo, é a garantia de que a informação recuperada é exatamente a mesma que foi publicada, sem sofrer qualquer alteração. É como se você juntasse todo um material com provas para usar como embasamento processual e, neste meio tempo, alguém sem permissão e sem seu consentimento, adulterasse parte deste material ou até mesmo todo ele.

  • Disponibilidade:

a informação precisa estar disponível quando estas forem requisitadas. Problemas como este acontecem quando existe a queda de conexão com um sistema ou aplicação. Isso pode ocorrer de forma involuntária ou intencional por meio de invasores.

Já se discute muito a inserção de mais um pilar de sustentação nesta combinação, que é a Autenticidade, responsável por garantir a identidade de qualquer pessoa que tenha acesso à informação, pois, sem essa confirmação, torna-se inviável garantir os princípios descritos anteriormente.

 

Segurança física – a primeira medida de proteção a ser levada em conta

 

A segurança no universo computacional se divide em duas partes: segurança física e segurança lógica.

Para a segurança física podemos pontuar vários tipos de ameaças: furto de equipamentos, incêndio, desabamento, desastres naturais (alagamento, relâmpagos, vendavais), problemas na rede elétrica, acesso não permitido de pessoas aos centros de processamento de dados (mais conhecidos como CPD), instrução inadequada dos funcionários que acessam estes equipamentos, entre outros.

E para solucionar isso temos as medidas de proteção física, tais como serviços de monitoramento, utilização de nobreaks, alarmes, circuito interno de televisão, backups e melhor orientação aos funcionários que acessam estes equipamentos.

 

Aprimore a segurança dos seus dados

 

De nada vai adiantar investir em novidades técnicas de proteção de dados ultra modernas, se a segurança física não for garantida! O objetivo principal é assegurar que não haja brechas no momento de implantar a segurança da informação no seu escritório.

Portanto, compartilho 10 dicas do que você precisa analisar para se prevenir de possíveis problemas:

 

1 – Dê atenção ao controle de acessos para os colaboradores, tanto de forma física como de forma lógica

 

Quanto menos pessoas tiverem acesso aos seus dados, menor é a chance de algum erro acontecer, além de diminuir o risco de vazamento de informações confidenciais e estratégicas. Porém, nem sempre existe a possibilidade de bloquear acesso a essas informações, visto que muitos dos colaboradores dependem disso para executarem suas atividades. Por isso, é importante implantar um controle de acesso para os colaboradores, definindo o que cada um poderá fazer ou executar.

 

Neste ponto é possível definir quais os privilégios de acesso o seu colaborador possui, seja dentro de um sistema ou em meio a centenas de documentos guardados na rede.

 

Imagine que, por curiosidade, um colaborador abra seu histórico bancário e veja informações importantes sobre as entradas e saídas de capital. Ou então um usuário tenha acesso a documentos que pertencem a outras áreas e, por descuido, exclui um documento com alto grau de importância. Para piorar a situação, não existe backup em lugar nenhum!

 

Ah! Não podemos esquecer também, neste ponto, de mencionar a troca de senhas. De quanto em quanto tempo a sua senha e a de seus colaboradores são trocadas?  Raramente?

 

O objetivo principal é conscientizar os colaboradores sobre a manutenção das senhas, recomendando que seja definido data de expiração para elas (com prazo entre 30 a 60 dias), obrigando o usuário a renovar a senha, adotando regras para que as senhas sejam fortes e seguras. (Como fazer senhas seguras)

 

2 – Dê atenção ao backup

 

Ter um procedimento de backup ou cópia de segurança é indispensável para o bom funcionamento de uma rede ou de equipamentos que armazenam dados. Sem estes você poderá ter sérios problemas.

Os arquivos ou documentos não estão livres de danos contra vírus, picos de energia, desastres naturais, problemas com hardware ou falhas humanas. Geralmente, muitos se dão conta da importância do backup justamente quando os problemas acontecem.

 

Não pense que para ter uma rotina de backup 100% eficaz, basta ter um HD conectado no servidor. Confesso que já vi escritórios conectarem um cabo USB no servidor e, na outra ponta do cabo, usar um pendrive escondido na parede.

 

Pense na possibilidade de realizar backups em nuvem. Com este tipo de serviço é possível enviar desde cópias de arquivos até ter uma rede virtual completa funcionando fora das suas instalações internas. Para isso, sugiro algumas empresas que, na minha opinião, são as melhores no mercado: Algar Telecom, Amazon.com, Google Cloud e Microsoft Azure.

 

3 – Verifique periodicamente se seus drivers e softwares estão atualizados

 

Você sabia?

O Brasil perde aproximadamente US$ 10 bilhões por ano com cibercrimes (Revista Veja,  21 de fevereiro 2018)

 

Uma das principais formas de acesso invasivo a um software ou a uma rede, é através de falhas encontradas em drivers, softwares e sistemas operacionais.

 

Segundo o jornal Folha de São Paulo, o Brasil entrou na mira de hackers e virou alvo de ciberataques do exterior. Os cibercriminosos investem pesado na procura de falhas. Um exemplo que causou grande espanto em um primeiro momento foi o ransomware (tipo de software nocivo que restringe o acesso ao sistema infectado com uma espécie de bloqueio, depois cobra um resgate em criptomoedas para que o acesso possa ser restabelecido, caso contrário, os arquivos podem ser perdidos e até mesmo publicados). Por isso, empresas de tecnologia a nível mundial precisam estar sempre lançando novas atualizações para corrigir essas falhas.

 

Para isso funcionar na prática, é importante que os responsáveis pelos sistemas no seu escritório tenham um cronograma de atualização, pois, além de fornecer maior segurança é possível acompanhar o desempenho de cada sistema.

 

Ah! Mais um detalhe: É importante que a TI analise se existem portas da rede liberadas sem necessidade para sistemas ou terceiros e se estas portas abertas estão sendo monitoradas por um firewall.

 

4 – Contrate profissionais especialistas em segurança da informação

 

Os profissionais especializados na área de segurança de dados são imprescindíveis para garantir a privacidade e integridade dos dados do seu escritório.

 

Estes profissionais estão sempre atentos às novidades tecnológicas, buscando soluções e técnicas de proteção dos dados, potencializando a segurança para seu escritório. Caso ocorra um imprevisto ou problemas operacionais no seu escritório, estes profissionais serão os únicos capazes de localizarem os erros e corrigir as falhas, se necessário. Dica: Mantenha-os sempre por perto! O tempo de resposta para correção do problema será muito mais rápido e tempo perdido é prejuízo na certa! Posso indicar de forma rápida três empresas que fazem isso com dedicação: SETUP TI, Softlan e Softwall.

 

Muitos desses profissionais se dedicam não somente na manutenção corretiva de procedimentos, como acabam se antecipando criando toda uma rotina preventiva. Algumas dessas empresas atuam com testes de vulnerabilidades programadas, tentando encontrar possíveis brechas de invasão e corrigindo-as (popularmente oferecendo um serviço conhecido como Pen Test).

 

5 – Foque em treinamentos dos colaboradores

 

Não presuma que seus colaboradores saibam claramente todas as questões envolvendo a tecnologia da informação, afinal, essa área pode apresentar muitos detalhes até então desconhecidos. Por isso, é importante que seja fornecido um treinamento de qualidade para todos os envolvidos, com o objetivo de entenderem os riscos e normas de conduta relacionados aos conceitos básicos de segurança.

 

Essa prática faz com que os usuários se tornem conscientes para que não caiam em técnicas de persuasão que os cibercriminosos criam, por exemplo: links com vírus, páginas falsas que roubam dados bancários, e-mails contaminados, entre outros. É por meio desses treinamentos que se explica porque as redes sociais podem ser bloqueadas em ambiente empresarial. Sendo assim, os colaboradores não procuram meios de burlar essas ações, pois causaria prejuízo tecnológico por conta de invasores.

6 – Defina, alinhe e documente as políticas de segurança com todos os envolvidos

 

Quando se tem todas as informações e procedimentos bem definidos, é possível saber o que cada colaborador tem que fazer e o que cada procedimento corresponde. Este processo fará com que as pessoas envolvidas saibam exatamente qual ação devem tomar diante de alguma dificuldade. Isso fará com que não resolvam o problema por conta própria, criando assim mais problemas.

 

Essas definições devem ser alinhadas com todos, para que saibam quais medidas preventivas estarão em execução. Em alguns casos é necessário que nesta etapa sejam realizadas breves alterações. Em outro momento, pode ser que todo o escritório tenha que passar por reestruturações lógicas.

 

Se o escritório optar por trocas de sistemas, é importante lembrar que nem sempre mudanças são tão fáceis assim, pois, é imprescindível um bom planejamento para diminuir o risco de algo dar errado. Também é necessário pensar nas rotinas envolvidas, usuários que utilizaram os recursos, além de questões técnicas e estrutura interna para suportar tais mudanças. Tudo isso demanda tempo e preparação.

 

7 – Mantenha todos os documentos centralizados

 

“- Alguém sabe onde está na rede aquela petição que falava sobre execução de títulos?

– Acho que vi lá na pasta Público da Rede.

– Não, esta está desatualizada, eu sei que tem uma mais recente.

– Ah! Eu sei, está no computador do João.”

 

Já presenciou algo similar no seu escritório? Hoje esse cenário acaba se tornando uma prática comum em alguns escritórios em que começo um novo projeto. Vejo que não se tem uma política clara sobre a centralização de arquivos. Geralmente, os usuários salvam os seus documentos em diversos lugares. Mas a dica é simples: mantenha tudo centralizado no servidor. É muito mais fácil dedicar atenção ao servidor para realização de backups, do que direcionar esforços de máquina em máquina para isso. Além de facilitar a rastreabilidade do documento quando se exige uma rápida tomada de decisão.

 

 8 – Faça uso de criptografia de dados

 

A criptografia é um tipo de “escrita secreta”. Que tem como principal objetivo garantir a segurança dos dados em processos de transmissão, assegurando que não haja interceptações surpresas. Desta forma, essas informações ficam inacessíveis ou ilegíveis por quem tem interesse de utilizá-la de forma indevida.

 

Procure utilizar sistemas que trabalham com essa funcionalidade, pois isso vai garantir maior privacidade no envio e recebimento de dados.

 

 9 – Utilize ferramentas de monitoramento

 

Por mais que utilizemos tanto equipamentos, como sistemas de última geração, para que tudo funcione em ordem é necessário que existam ferramentas de monitoramento cuidando de todo esse universo de dados e informações. Através destas ferramentas, os profissionais responsáveis pela TI, conseguem detectar incidentes através de alertas pré-programados. Se um problema acontecer fora do expediente de trabalho, um profissional qualificado poderá resolver isso mesmo de maneira remota.

 

Mecanismos de segurança, como esse, permitem a extração dos pontos críticos para a rápida tomada de ação, facilitando a visualização do problema para os gestores do escritório.

 

10 – Defina um plano de contingência

 

Trago como última sugestão, não menos importante, mas sim uma das dicas mais necessárias para se ter em uma documentação: Plano de contingência.

 

Se houver uma enchente, uma destruição, incêndio ou queima de servidor, o que fazer? Parar todo o escritório? Por quanto tempo? Para onde as pessoas poderão ser realocadas? Qual o tempo de resposta até que tudo esteja funcionando novamente?

 

Ter um plano de contingência facilita e muito este tipo de tomada de decisão. Conversamos anteriormente sobre a importância de ter backups. Cuidar dos equipamentos físicos e de ter um profissional sempre à disposição. Tudo isso vai ser de grande ajuda na solução do problema, mas, onde os dados ficarão realocados? Onde meus colaboradores poderão trabalhar?

 

É necessário ter um plano B. Local de trabalho pré-definido. Quem são as pessoas chaves que irão para estes novos lugares. Como os dados serão restaurados. Lista de compromissos pendentes em paralelo com no mínimo 24 horas futuras. Muitos profissionais de TI devem simular isso na prática a fim de saberem o tempo de resposta, caso algo assim realmente aconteça.

Quais as consequências de não investir em segurança da informação?

 

No universo jurídico, tempo parado é prazo perdido, audiência perdida, cliente perdido, credibilidade e moral decaída. Os resultados podem ser desastrosos em diversas áreas. A demora do acesso aos dados pode gerar interrupção dos serviços e o processo pode demorar muito tempo (horas ou dias) para ser resolvido.

 

Outro fator que pode sobrevir é a falta de confiança dos seus clientes nos seus serviços. Imagine seu escritório não conseguir mais captar clientes, por eles saberem que você não investe em segurança dos dados!  Segundo a revista Isto é, no Brasil, aproximadamente 62 milhões de pessoas foram vítimas de algum crime virtual em 2017.

 

Por isso meus amigos, finalizo este artigo com um último conselho baseados nas palavras de um grande físico teórico alemão: “Uma pessoa inteligente resolve um problema, um sábio o previne.” (ALBERT EINSTEIN)

 

Tiago Oliveira

É Mentor em Tecnologia e Inovação na ÉOS Inovação na Advocacia. Possui ampla experiência como administrador de sistemas. Atuou em escritórios de advocacia como Gestor de Operações. Cursou Bacharelado de Sistemas de Informação, 2010 (Faculdade Expoente) e é especializado em Gestão de Projetos (OPET). Atuante há mais de 13 anos na área, implantando fluxos, gerenciando rotinas departamentais e automatizando métodos de trabalho. Presidi aulas na Fundação de Estudos Sociais do Paraná (FESP).

Deixe uma resposta

Your email address will not be published. Required fields are marked *

Post comment