Quem decide sobre a segurança na sua empresa?

Compartilhe:

Na semana retrasada li um estudo da IBM sobre o aumento do cibercrime de 2015 para 2016. O número é assustador. Em apenas um ano, o crescimento foi de 566%. O número de registros violados passou de 600 milhões para 4 bilhões.

Apesar de eu me considerar uma pessoa otimista, fica difícil de acreditar que esse montante irá reduzir. Isso me leva para o fim da pesquisa, mostrando que as investidas no mercado financeiro voltou a ser o foco, destituindo o setor de saúde que por anos era o campeão de ataques cibernéticos.

O cenário não está diferente do que sempre foi. Desde que a internet chegou até as empresas e a população, diversas indústrias enfrentam problemas quanto à segurança da informação e quanto mais dispositivos estiverem conectados nessa grande rede, mais tentativas de invasão cibernética vão acontecer.

Você pode me questionar se isso quer dizer que vamos ter de nos desconectar de tudo, não utilizar smartphones, tablets, computadores, não ter casas automatizadas ou carros autônomos. Não. O problema é grande, aterrorizante, mas existem saídas e não somos apenas eu ou você, como público final que temos que resolver. As empresas precisam decidir sobre a segurança de tudo o que chega até as pessoas.

O problema, porém, é que mesmo que os riscos sejam iminentes, existem áreas dentro das organizações que sequer estão preocupadas com a segurança de suas informações. Uma pesquisa do ano passado do time de Segurança da IBM mostrou que 70% dos CxOS (executivos de alto escalão das companhias) acreditam que indivíduos desonestos são a maior ameaça para uma organização, mas que isso é a pontinha do iceberg, pois existem muitas outras ações que estão ocorrendo que necessitam de igual atenção. Quase 60% dos líderes de finanças, RH e marketing não estão ativamente empenhados na execução de estratégias sobre o tema. E essas são áreas que possuem informações sensíveis: folhas de pagamento, dados dos colaboradores, contas a pagar e a receber, etc.

E do mais, quase ninguém toca nesse assunto, mas os fornecedores podem ser o foco de uma invasão também. Em 2013, o varejo presenciou o segundo maior rombo de informações de toda história quando a Target teve os dados de 70 milhões de seus clientes roubados. A empresa estava em conformidade? Sim. Tinha um sistema de segurança? Sim. Então, o que houve? Simples. O invasor adentrou os sistemas da rede de varejo através dos servidores do fornecedor de ar condicionado. Já ouviu dizer que a ocasião faz o ladrão? Pois é.

Sem contar que os ataques podem ser esses rombos absurdamente grandes ou simplesmente mini tentativas, na qual a empresa nem percebe. Há alguns anos assisti um filme de um hacker que roubou um banco retirando centavos por dia da conta dos correntistas. De grão em grão ele ficou milionário. Moral da história: Um sistema nunca estará seguro, um cibercriminoso pode adentrar e simplesmente ficar lá, ir criptografando o que precisa. Sabe a máquina lenta? Pode ser um problema de rede, mas também é possível que seja um ataque e a empresa enfraquecida nem percebe o real problema.

Esses dias ouvi uma analogia muito boa do líder de Segurança da IBM, João Paulo Lara Rocha. Ele disse: invasão hacker é igual a um ladrão que não arromba a porta. Se você chegar em casa e ver que sua porta foi arrombada e roubaram seus pertences, qual sua primeira percepção? “fui assaltado”. Agora se você chega em casa e a porta está ilesa, porém aberta e sumiu R$10 que estava em cima da escrivaninha, qual seu primeiro pensamento? “esqueci a porta aberta e provavelmente gastei esse dinheiro em algum momento que não me lembro”.

Na minha percepção, um ataque eficiente funciona dessa forma. O malware fica alojado por meses, ninguém o descobre e quando isso ocorre ele já tomou tudo o que necessitava. Nesse jogo de gato e hacker quem tiver um sistema mais seguro, em compliance, prevenindo todas as portas – inclusive as dos fornecedores e colaboradores – estará protegido de todas as possíveis invasões. O problema é quem vai decidir por tudo isso? Enquanto o board executivo não olhar para a segurança da informação com a devida atenção, nenhum sistema estará a salvo.

*Por Maria Fernanda Espinosa