Segurança da Informação: o que aprender com esses 3 ataques de hackers

É lugar-comum dizer que as organizações conhecem a importância da segurança da informação, mas será que sua empresa tem os recursos certos para mitigar os riscos que corre todos os dias com relação a seus dados?

A Governança de TI é uma pauta comumente negligenciada e dela vêm os principais recursos que os negócios possuem para se proteger. Hábitos simples como travar seu computador ao deixar sua mesa ou apagar dados confidenciais de um quadro branco são fáceis, mas quando se trata de governança e gerenciamento de risco é preciso ir um pouco além.

Hoje você vai entender a importância de uma gestão bem planejada e conhecer a história de empresas que foram hackeadas e tiveram de arcar com as consequências disso. Você verá, ainda, algumas dicas para criar uma política de segurança da informação efetiva e verá como isso funciona na prática.

Vamos lá?

Segurança da Informação: a importância de manter protegidos seus dados

Os dados são, atualmente, um dos ativos mais valiosos que as empresas têm à sua disposição, cobrindo desde transações financeiras para clientes importantes a previsões sobre o futuro. Usar dados de forma eficaz pode impactar positivamente todo o negócio, da tomada de decisões ao marketing, passando até pela eficácia das vendas.

Levar a segurança deles a sério e garantir as precauções necessárias para proteger esse importante trunfo é uma preocupação cada vez maior. Nesse sentido, a segurança da informação é baseada em três elementos: disponibilidade, confidencialidade e integridade.

Saber onde estão seus dados, como eles são utilizados e por quem é um bom modo de começar a implementá-la. Por isso, vamos iniciar este artigo com quatro dicas de governança de TI para que você consiga definir processos mais seguros em sua organização.

Saiba exatamente que recursos tem e onde mantê-los

Entender de quais dados e recursos sua organização dispõe, onde eles estão e quem é responsável por eles é fundamental para construir uma estratégia de segurança eficiente. Manter um registro de ativos de dados é uma forma de garantir que todas as medidas preventivas que você introduzir incluirão as partes relevantes.

Treine sua equipe

Alguns dos erros mais comuns e destrutivos para as organizações se originam em seres humanos. A perda ou o roubo de um USB ou laptop que contenha informações confidenciais, por exemplo, pode prejudicar muito a sua reputação e levar a grandes perdas financeiras.

Considere um programa de treinamento para garantir que todos os seus colaboradores estejam cientes dos bens valiosos com que estão lidando e da necessidade de gerenciá-los com segurança. Ofereça treinamentos para a sua equipe, inclusive para que os seus colaboradores saibam como reagir no caso do extravio de informações.

Tenha uma lista dos funcionários que possuem acesso a dados confidenciais

Infelizmente, a causa mais provável de uma violação de dados é um erro ou vazamento intencional de sua própria equipe. Manter o controle sobre quem pode acessar que informação e quando é, portanto, essencial.

Minimize seus privilégios de acesso apenas aos que necessitam de determinados dados e implemente estratégias de controle que ajudarão a evitar o roubo de informações e garantirão que, caso um vazamento aconteça, você poderá identificar a fonte. Tenha sempre uma lista atualizada dos funcionários que possuem acesso a dados confidenciais.

Execute backups regulares de seus dados sensíveis

Fazer backups regulares é algo de que muitas empresas se esquecem, mas a continuidade do acesso é uma importante dimensão de segurança. Considere quanto tempo e esforço podem ser necessários para reconstituir os dados perdidos e calcule quanto custaria essa interrupção de negócios. Desse jeito você consegue ter ideia do quanto custa não fazê-los.

Agora que você já abordamos esses princípios, vamos te mostrar porque eles são tão importantes. Todas as histórias a seguir são reais e aconteceram em empresas que, como a sua, dependiam fortemente de sistemas informatizados, mas não tiveram a cautela necessária para protegê-los.

Uma nova ameaça: o ransomware

Apenas em 2015, o ransomware atingiu quase 50% das empresas no Reino Unido, na Alemanha, nos Estados Unidos e no Canadá, segundo o relatório da Malwarebytes. Cerca de 34% delas perderam receita e outras 20% tiveram de cessar suas operações imediatamente.

Ransomware, ou vírus do resgate, é um tipo de malware que restringe o acesso ao sistema infectado até que um prêmio seja pago pela informação. Um exemplo comum desse tipo de malware é o Arhiveus-A, que compacta os arquivos de sua vítima em pacotes criptografados até que seja pago o “resgate”.

As empresas são, então, desafiadas a mitigar o crescente perigo dessa ameaça, que se tornou uma das maiores do mundo. Quase 80% das organizações já foram vítimas de um ataque cibernético e cerca de 47% delas passaram por uma situação de ransomware no ano de 2015.

O problema custa às empresas muito dinheiro — pelo menos 20% delas disseram ter recebido demandas superiores a US$ 10.000! Conheça agora a terrível história de três empresas atingidas pelo ransomware.

Kentucky Methodist Hospital

Em um ataque surpreendente, hackers encriptaram os dados de três grandes hospitais norte-americanos, o Kentucky Methodist Hospital, o Chino Valley Medical Center e o Desert Valley Hospital.

Nenhum dos hospitais pagou pelo ransomware, mas o Kentucky Methodist Hospital teve de tomar medidas drásticas e tirar todos os seus sistemas do ar. Os hospitais só puderam fazer isso porque tinham bem implementadas políticas de backup e protocolos de recuperação de desastres já bem amadurecidos.

A parte crítica de sua infraestrutura e os dados de pacientes não foram atingidos, mas o ataque foi o suficiente para interromper suas operações por algumas horas. Algumas semanas antes, um ataque similar levou o Hollywood Presbyterian Medical Centre a desembolsar cerca de US$ 17.000.

Universidade de Calgary

Em junho de 2016, a Universidade de Calgary pagou um resgate de C$ 20.000 após um ataque criptografar seu sistema de e-mail. O ciberataque impactou duramente as redes da faculdade e as equipes de TI da UCalgary não conseguiram lidar com o problema sem desembolsar a significativa quantia.

Embora os hackers não tenham colocado as mãos nos dados de seus alunos, a UCalgary decidiu pagar para ver.

Ransomwares no Android

O vírus do resgate ainda não se popularizou nos dispositivos móveis, mas 2015 viu um aumento real desses ataques em dispositivos Android. Uma variante do malware negava aos usuários o acesso a seus dispositivos e notificava aos usuários que eles andaram vendo conteúdo adulto ilegalmente.

O custo da liberdade? Cerca de US$ 500 em um voucher MoneyPak. Enquanto os ataques em celulares forem direcionados a pessoas físicas eles não oferecem tanto risco, mas e se fosse o celular da sua empresa?

Para se defender do ransomware, sua organização não pode negligenciar as dicas que citamos no começo desse texto, com atenção especial para os backups. Armazená-los em um ambiente distinto é a melhor forma de proteger esses dados do alcance de hackers.

Os especialistas em segurança ainda recomendam que não se pague nenhum tipo de resgate e que ataques dessa natureza sejam denunciados às autoridades.

E você, gostou desse post sobre segurança da informação? Está pronto para defender sua empresa de perigos como o ransomware? Aproveite então para se inscrever na nossa newsletter e receba nossas melhores dicas!


Compartilhe com um amigo!