Vazamento de dados: emergência à vista
Prof. Dr. Antonio Celso Ribeiro Brasiliano,
CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.
Roselaine Araujo
Jornalista da Brasiliano INTERISK - raraujo@brasiliano.com.br
18/02/2021
Dados pessoais expostos no Brasil mostra que os alertas foram insuficientes para o mundo corporativo despertar.
O vazamento de dados praticamente virou febre no mundo, crescendo ainda mais na pandemia. No Brasil, veio a público no mês de janeiro uma notícia assustadora: o megavazamento de dados pessoais que expôs 200 milhões brasileiros, ou seja, praticamente toda população do país, incluindo autoridades e personalidades famosas.
Com tantas notícias nesse sentido vindo à tona, investir em Segurança da Informação precisa virar prioridade para as organizações de todos os setores. De acordo com a consultoria IDC, em 2019, a Segurança liderou 50% das prioridades de TI, passando para 59% em 2020 e deve fechar 2021 com 61% das principais iniciativas, superando tendências como inteligência artificial, analytics, machine learning, nuvem e modernização de ERP.
Mas o que dizer das empresas que ainda não sabem que rumo tomar diante de tantos e violentos ataques cibernéticos? Antonio Brasiliano, professor, doutor e presidente da Brasiliano INTERISK, faz uma análise profunda sobre o assunto e traça um caminho de soluções para as organizações preocupadas em manter a saúde de seus negócios, mesmo em meio à guerra digital.
Vazamento de dados expõe falta de metodologia estruturada em DLP – Data Loss Prevention
O Brasil sofre uma onda de vazamento de dados e ataques cibernéticos nos mais variados segmentos, com maior foco nas empresas de energia. Já o vazamento de dados foram em escala exponencial. O último ocorreu no dia 10 de fevereiro, que segundo informações da empresa PSafe, vieram de duas operadoras de telefonia celular. Segundo a empresa de cibersegurança, registros de 102.828.814 contas foram vazados na dark web, com informações sensíveis de milhares de brasileiros, incluindo o presidente Jair Bolsonaro e os jornalistas Willian Bonner e Fátima Bernardes.
Entre os dados, estão o tempo de duração das ligações, número de celular e endereço. O hacker contratado pela Psafe disse que as informações são de duas operadoras, embora nada ainda foi comprovado.
Ainda de acordo com a Psafe, o criminoso – que está fora do Brasil – estaria vendendo cada registro por US$ 1, valor que pode diminuir em função da quantidade de informações compradas. O vazamento foi descoberto no dia 3 de fevereiro e a Psafe vai enviar um relatório com os resultados da investigação para a Autoridade Nacional de Proteção de Dados (ANPD), vinculada ao Governo Federal.
O que me deixa alarmado é a falta de um processo estruturado contra vazamento de informações ou dados. Embora o investimento em segurança cibernética esteja crescendo no Brasil, o relatório IDC Prediction 2021 aponta que, em 2021, os gastos com soluções de Segurança (hardware ou software) ultrapassarão US$ 900 milhões no Brasil, alta de 12,5% em relação ao ano anterior. Já os serviços gerenciados de Segurança (MSS) totalizarão US$ 615 milhões no mesmo período. As soluções de Segurança na nuvem crescerão 29% neste ano e corresponderão a 23% das soluções de SI buscada no mercado.
A pergunta que não me deixa calar é: por que as empresas não conseguem progredir contra os hackers? Lendo uma das edições
Havard Business Review de 2020, não sei precisar qual, dois executivos da empresa de segurança cibernética Archefact, Thomas J. Parenty e Jack J. Domet, com suas vivências internacionais, descobriram que maioria das empresas concentram seus esforços apenas nas vulnerabilidades tecnológicas. Como padrão, a responsabilidade pela segurança cibernética é sempre atribuída aos especialistas de TI, o que resulta numa lista de possíveis ataques sem prioridades bem definidas. O jargão domina as reuniões sobre riscos e líderes C-Level e conselheiros não conseguem participar delas de modo significativo.
Segundo os consultores, a melhor maneira de abordagem estratégica é a identificação das atividades críticas do negócio, os riscos para elas, os sistemas que o apoiam, as vulnerabilidades desses sistemas e os possíveis invasores. Líderes e funcionários da empresa devem participar, pois são eles que conhecem os processos e ou atividades, tendo também a responsabilidade da própria segurança cibernética, além dos executivos e conselheiros serem também responsabilizados pela segurança geral cibernética.
Mesmo assim, diante deste cenário no qual poucas empresas priorizam este tema, a grande maioria acredita que basta implantar um sistema e que suas informações estão seguras.
Nós, da Brasiliano INTERISK, definimos a prevenção contra vazamento de informações como sendo um conjunto importante de políticas, métodos e tecnologias utilizadas para tentar evitar que dados estratégicos ou sensíveis – quesitos legais – sejam compartilhados indevidamente, subtraídos da empresa ou enviados para ambientes inseguros ou manipulados por usuários não autorizados.
Qualquer empresa deve entender que para evitar o vazamento tem que aceitar o fato de que as informações e dados estratégicos e críticos podem ser conseguidos de forma voluntária ou involuntária. Isso mesmo. Se um funcionário de médio escalão possui uma informação estratégica e não sabe o valor disso para a empresa, ele pode facilitar um grande vazamento por meio de conversas informais com grupos de amigos ou até mesmo virar vítima de engenharia social e/ou técnica de indução.
Para isso, as organizações devem apostar num Processo Estruturado contra Vazamento de Informações, com metodologia e critérios parametrizados. A Brasiliano INTERISK acredita em metodologias, por isso estruturou um processo simples e prático por meio da nossa solução INTERISK, que dispõe os seguintes passos:
PRIMEIRO PASSO
A empresa precisa identificar na sua cadeia de valor quais são os processos críticos que suportam o “core” do negócio. Esses processos devem merecer toda atenção do pessoal de segurança da informação, cibernética e segurança corporativa.
Pode-se utilizar como critério e parâmetro o BIA – Business Impact Analysis, onde medimos as consequências em termos de vazamento e sua falta nas tomadas de decisões e/ou em processos de negócio.
Abaixo, temos um exemplo no qual os processos localizados no quadrante vermelho são estratégicos e/ou sensíveis.
Fonte: Software INTERISK
SEGUNDO PASSO
O segundo passo é o mais estratégico e importante, pois a empresa deve classificar as informações pelo seu conteúdo estratégico e também pelos requisitos legais. Ressalto que grande parte das empresas mundiais, cerca de mais de 85%, não praticam essa etapa. A classificação das informações deve constar na Política de Segurança das Informações e Cibernética. É lá que precisa estar claro a classificação e o que ela irá demandar proteção diferenciada.
A classificação das informações não tem um critério definido, mas em termos de benchmarking pode-se classificá-las em quatro níveis:
1) Informações confidenciais – o mais alto nível;
2) Informações ou dados restritos – médio nível de confidencialidade;
3) Uso interno – o mais baixo nível de confidencialidade – público interno da empresa sabe da informação;
4) Informações e dados são públicos – todos podem ter a informação.
Com as informações já classificadas, elas devem ser rotuladas e tratadas, conforme sua política, podendo até integrar o IP da máquina e o e-mail do usuário a fim de saber se ele pode mandar essa informação para fora da empresa. Desta forma, o sistema de proteção de dados funciona. Percebem que se a empresa não classificar as informações, os sistemas serão inócuos.
Abaixo, um critério que utilizamos para identificar informações ou dados estratégicos.
Fonte: Software INTERISK
Estas informações, para melhor visualização, vão para uma Matriz de Relevância:
Fonte: Software INTERISK
Com as informações estratégicas e sensíveis identificadas, podemos classificar utilizando sua relevância versus sua confidencialidade, tal cruzamento vai para outra matriz denominada de Classificação de Informações e Dados. Trata-se de uma matriz que de forma direta, ao cruzar os dois parâmetros, automaticamente já disponibiliza o nível de tratamento desejado pela sua importância.
Nesta fase, é fundamental saber também qual é a característica das informações e dados em relação a movimentação, ou seja, saber se elas estão:
- Em uso nas máquinas dos usuários;
- Em movimento na rede corporativa ou fora dela;
- Se estão armazenadas, como por exemplo em servidores.
A característica da movimentação irá direcionar a demanda da segurança necessária dessas informações.
Fonte: Software INTERISK
TERCEIRO PASSO
Com base nos processos críticos para o “core” da empresa, as informações e dados classificados quanto sua confidencialidade necessitam de uma identificação. Em geral, questionamos: quais são os Sistemas de Tecnologia da Informação que sustentam os dois pilares? Usamos essa informação também para selecionar o inventário de sistemas, o BIA – Business Impact Analysis.
Exemplo de utilização do BIA para sistemas, com sua criticidade no quadrante vermelho.
Fonte: Software INTERISK
Teoricamente, estou com minhas joias da coroa protegidas, certo?
Errado!
Ainda falta o elo mais crítico deste sistema: o fator humano!
QUARTO PASSO
O quarto passo significa identificar quais são as pessoas, e não o cargo, que manipulam ou têm acesso às informações. Temos que saber o nível de maturidade destas pessoas. Isso mesmo! Temos que fazer uma avaliação e identificar seus pontos fracos nos quesitos:
• Engenharia social;
• Técnicas de indução;
• Phishing;
• Controle de senhas – de que forma controla e nível de complexidade;
• Nível de segurança de seu computador ou aparelho mobile: criptografado, utilização de senhas, entre outros;
• Nível de tratamento com segurança de documentos físicos: leitura em locais públicos, deixar o documento em cima de mesas, poltronas, salas de reunião, etc.;
• Segurança digital - trabalha em locais públicos com computador e aparelhos mobile;
• Segurança de redes: utiliza redes abertas públicas, tais como hotéis e aeroportos.
Qual a importância de sabermos a maturidade sobre confidencialidade das informações dessas pessoas sensíveis e estratégicas para as empresas?
A importância é identificar as fraquezas e tratá-las. Assim, é possível evitar que as organizações sejam alvos de possíveis agressores. Podemos montar uma régua, com base nos oito quesitos e termos um range de maturidade:
Fonte: Software INTERISK
Vejam que temos que avaliar a pessoa e não o cargo, pois cada um possui características e atitudes diferentes. Por esta razão, é primordial sabermos as pessoas na organização que manipulam as informações e dados sensíveis e estratégicos.
Em seguida, temos que saber quais informações essas pessoas manipulam e a criticidade apurada. No exemplo abaixo, Carlos Antunes – que é presidente da empresa, possui um nível de maturidade boa. Classificado como verde, ele manipula algumas informações sensíveis.
Fonte: Software INTERISK
Com esses quatro passos estabelecidos, poderemos identificar os riscos possíveis e a gestão dos ativos primordiais para a empresa. Vejam que as empresas ficam míopes em relação aos quesitos citados. Se preocupam em colocar muita tecnologia e esquecem o processo estruturado de Data Loss Prevention – DLP.
O que as empresas devem entender é o que define uma Maturidade em Segurança Cibernética é o foco nos objetivos e a interconectividade com a estratégia de negócios.
Caso não ocorra essa conexão, as empresas literalmente enxugarão gelo. Não é nada produtivo implantar uma série de sistemas sem que elas conheçam suas reais fragilidades.
Na Brasiliano INTERISK, elaboramos projetos de Data Loss Prevention – DLP no nosso sistema INTERISK, de forma que o dono do processo possa aplicar esta avaliação. Portanto, a eficácia será muito maior. A grande parte das empresas esquecem a primeira e quarta fase. Daí vemos essa grande vulnerabilidade que as corporações possuem.
Um processo estruturado de DLP coloca a empresa em grande vantagem competitiva, especialmente neste mundo BANI – Frágil – Ansioso – Não Linear – Incompreensível.