Seus dados mais seguros

Especialista em segurança da informação e diretor-presidente da ISH Tecnologia, Rodrigo Dessaune destaca a importância da proteção de dados digitais para manter a confidencialidade e a integridade das empresas

* Por Yasmin Vilhena

Cada vez mais importante dentro das organizações, a segurança da informação vem ganhando destaque no meio empresarial, que constantemente sofre com ataques cibernéticos executados por hackers do Brasil e do mundo. Afinal, trata-se da proteção de um ativo vital para as companhias, não somente pelo seu potencial na tomada de decisões estratégicas, como também pelo valor do conteúdo no mercado negro, caso haja algum vazamento feito por meio de uma espionagem corporativa, causando incômodos que podem até levar a uma crise.

No que consiste a segurança da informação e qual sua importância para o universo empresarial?
Consiste na proteção de todos os ativos informacionais das empresas. Podem ser arquivos de texto, planilhas eletrônicas, informações de banco de dados, imagens, vídeos, extratos bancários, ou seja, qualquer tipo de informação ou dado que esteja armazenado de modo digital em uma organização. Tudo está sendo convergido para o formato digital, fazendo com que outros suportes sejam deixados de lado. Estamos passando por uma transição na história.

Qual a forma mais eficiente de se mapear esses riscos?
Existem, hoje, vários pontos de insegurança, e todos esses riscos têm que ser mapeados para que sejam mitigados. A melhor maneira para avaliar isso tudo é com uma pesquisa. Comprovadamente, 80% dos riscos ou dos problemas acontecem por meio das pessoas, seja abrindo um e-mail que não deveria ter sido aberto ou seja até mesmo fornecendo uma informação que não poderia ser dada por telefone. Outro ponto que influência negativamente é quando um sistema de um computador, telefone ou tablet está desatualizado, algo que as pessoas não dão
muita importância.

Qual a avaliação do senhor sobre o Marco Civil da Internet? Ainda falta muito para melhorar?
Apesar de acreditar que essa era uma lei necessária, vejo que existem alguns excessos, como a prisão do vice-presidente do Facebook na América Latina, Diego Dzodan, que se recusou a fornecer certas informações do WhatsApp. Mas por ser uma lei, é óbvio que ela precisa ser seguida, mesmo tendo vertentes boas e ruins. O lado bom é que você não pode bloquear o acesso à informação de uma rede, pois é preciso ter sempre o registro de quem a acessou em um determinado momento. O ruim é que mesmo uma pequena empresa como um restaurante, que provê acesso para os seus clientes, tem que guardar por um ano essas informações. Ou seja, exige um investimento muito alto em tecnologia para que isso possa ser armazenado pelo período que a lei determina.

Empresas de comunicação que operam no país devem obedecer ao Marco Civil da Internet, diferentemente das companhias que possuem representação no exterior, onde o cumprimento a determinações judiciais passa por acordos de cooperação internacional. qual a sua opinião sobre essa brecha, em específico?
É muito difícil obrigar uma empresa de fora do Brasil a seguir uma determinação do nosso país. No caso da prisão do vice-presidente do Facebook, isso deve ter ocorrido pelo fato de a empresa ter um escritório aqui. Agora, imagine uma empresa da Dinamarca que cria um site. Quem vai proibir alguém do Brasil de acessar a informação desse site? Se todo país tiver uma legislação diferente a ser seguida por quem é de fora, isso tiraria toda a dinamicidade da internet. Por isso eu acredito que o Marco Civil tem a tendência de não funcionar em países estrangeiros, a não ser em relação a empresas grandes como Facebook, que têm interesses comerciais no Brasil e que por conta disso vão querer se adaptar para fazer negócios aqui.

O senhor acredita ser possível achar um equilíbrio entre o direito à privacidade e às investigações criminais?
No caso de uma ordem judicial, a empresa vai ter que fornecer as informações que a Justiça está solicitando, afinal, ordem de juiz não se descumpre. Se houver uma determinação judicial, não tem jeito. O importante, acima de tudo, é que o empresário invista o máximo possível para ter a privacidade de suas informações, com o treinamento de seus funcionários e o investimento em sistemas para que não sejam permitidos invasão por hackers, vazamentos internos e espionagem industrial, por exemplo. Existem ferramentas muito boas para se proteger disso tudo, estando o mais blindado possível.

Que tipos de mudanças as novas regulamentações trouxeram para o trabalho das equipes de segurança da informação?
As mudanças fizeram com que fosse criada uma conscientização dentro das empresas. Essas organizações, se não estiverem ajustadas ao Marco Civil, acabam tendo penalidades claras; então a própria área jurídica fica alerta em relação a isso. Com esse rigor, tem aumentado a procura por soluções de segurança específicas que estejam adequadas à legislação. Empresas do setor financeiro, por exemplo, precisam seguir diretrizes do acordo de Basileia e do Banco Central. Como nós temos algumas empresas desse segmento conosco, constantemente passamos por auditorias para averiguar se estamos de acordo com o Marco Civil.

Mesmo que tenham ocorrido grandes inovações, a situação da segurança corporativa é ainda mais crítica do que a pessoal, por exemplo, já que o vazamento de certas informações pode decretar a falência da organização em certos casos. Quais os principais erros que são cometidos pelas empresas nesse sentido?
O assunto deve ser levado a sério pela alta direção da empresa, um tratamento semelhante ao que é dispensado a outras áreas, como a jurídica e de recursos humanos. A meu ver, um dos principais erros cometidos pelas empresas é a não atualização dos softwares, pelo fato de demorarem muito em certos casos. O que as pessoas precisam entender é que, se saiu uma atualização, isso foi feito por uma questão de segurança. Foi descoberta uma vulnerabilidade para ter uma vantagem, o que fez com que o fabricante disponibilizasse essa atualização o mais rápido possível para que seja executada essa correção, pois a comunidade hacker está ciente disso. Outro ponto que merece atenção são os sistemas de Ransomware, que sequestram os dados do computador e do celular e pedem um resgate. Eles encriptam o sistema e mandam uma mensagem falando: deposite “xis” mil bitcoins nessa conta para liberarmos. Aí complica de vez.

Por mais que as pessoas tenham ciência da importância da segurança digital, profissionais do ramo ainda encontram certa resistência na aplicação dos controles?
Os empresários veem como um custo, e não como um investimento. O bem físico é sempre bem protegido, enquanto que o patrimônio intangível às vezes é deixado de lado, sendo que ele é muito importante, pois contém informações, projetos, bases de clientes, histórico de compra e venda, dentre outros aspectos. A segurança da informação não é um sistema de TI, e sim um sistema de proteção da empresa que precisa ser visto como tal.

O uso de dispositivos pessoais dentro do ambiente de trabalho influencia para que a segurança digital fique fragilizada? Caso isso ocorra, é importante que seja feito um treinamento junto aos funcionários?
Se o usuário for treinado, a situação não fica tão insegura assim. Lembrando que determinadas áreas precisam ter acesso às redes sociais, por exemplo o marketing e as partes financeira e técnica. Cortar a internet como um todo é impossível hoje em dia. O que tem que bloquear é o mau uso daqueles que a acessam. Tem que ser uma educação contínua, porque senão o próprio funcionário acaba sendo uma fonte de insegurança dentro da empresa, por meio da engenharia social. Alguém pode ligar e falar que é do suporte da empresa e que está fazendo uma checagem que precisa de login e senha. Cerca de 70% das pessoas caem em casos como esse.

Os ataques que são vistos atualmente fazem parte de gangues cibernéticas de outros países ou podemos afirmar que o número de invasores brasileiros aumentou?
Aumentou bastante. O Brasil está entre os cinco maiores países que fazem ataques cibernéticos, assim como os Estados Unidos, a Rússia, a China e a Coreia do Norte. Em certos aspectos, o Brasil está até na frente, como no caso do internet banking. Por isso temos muito phishing de hackers que tentam pegar senhas de banco por e-mail.

Para finalizar a entrevista, qual a dica que o senhor gostaria de dar aos nossos leitores para que eles não tenham problemas relacionados à privacidade digital?Procurem sempre manter seus sistemas atualizados, pois é muito mais barato se prevenir com questões relacionadas à segurança da informação do que ter que se recuperar de um incidente. Imagine estar no meio de uma crise de segurança e ter que fazer o seu sistema voltar a funcionar. É bem mais complicado…

Compartilhe

Deixe seu comentário

Please enter your comment!
Favor insira seu nome