segunda-feira, 21 de fevereiro de 2022

Investimento em segurança de informações

É muito comum aqui no Brasil a falta de investimento em segurança de informações e nos últimos anos também passou a fazer parte do dia a dia dos noticiários as invasões nos sistemas digitais.

 

A grande maioria dos investimentos em segurança não é realizada porque as iniciativas de segurança não são vistas como prioridade pelos executivos do negócio e porque os custos são elevados.

 

As iniciativas de segurança não são apenas a aquisição de um hardware e software, elas são uma filosofia empresarial. Todos os colaboradores (funcionários e terceiros) precisam estar envolvidos nas práticas de segurança.

 

Isto significa contratar pessoas capacitadas e honestas e ter mecanismos de monitoração para rapidamente perceber qualquer tipo de anormalidade no sistema.

 

A organização da central de atendimento tem um papel fundamental na segurança, pois além dela incentivar dando exemplos de práticas seguras e inseguras, ela ministra treinamentos informais diariamente para todos os colaboradores e ela monitora comportamentos atípicos dos usuários e clientes (é claro que isto só é verdade nas centrais de atendimento que fazem o seu trabalho e funcionam como membros da cadeia de valor da empresa).

 

Recentemente tivemos dois casos de graves falhas de segurança que geraram prejuízos milionários para as empresas. No primeiro caso, um funcionário terceirizado de um banco furtou dinheiro de diversas contas de pessoas famosas (Neymar tem mais de R$ 200 mil furtados após golpe bancário; homem é preso, https://www.uol.com.br/esporte/futebol/ultimas-noticias/2022/02/09/neymar-roubado-conta-pix-movimentacoes-banco.htm, acessado em 21/02/2022) e no segundo caso, foram geradas perdas de centenas de milhões de reais por conta da invasão do site de comercio eletrônico (Americanas perde mais de R$ 100 milhões por dia com ataque hacker, https://www1.folha.uol.com.br/mercado/2022/02/americanas-perde-mais-de-r-100-milhoes-por-dia-com-ataque-hacker.shtml).

 

A segurança digital é formada pelo hardware, software, inteligência e recursos humanos. O capital intelectual da empresa é um dos pilares da segurança ou insegurança.

 

Falhas no capital intelectual jogam no lixo todo o investimento em soluções de segurança. Falhas na atuação da central de atendimento quebram todas as barreiras de segurança.

 

É comum a central de atendimento fornecer informações sobre as credenciais de um usuário com base em uma declaração falsa do atacante.

 

Por exemplo, o invasor informa que é o diretor financeiro da empresa e solicita a troca urgente da sua senha e a central faz a troca e informa a senha para o invasor.

 

Este é apenas um dos diversos exemplos em que a central de atendimento usou uma logica politica ao invés de uma lógica racional e comprometeu o negócio da empresa.

 

Em alguns casos as perdas de milhares de reais e em outros de milhões. No caso da Americanas existem ainda as perdas intangíveis como a credibilidade do portal de comercio eletrônico e a divulgação de dados confidenciais dos seus clientes (por divulgação entenda-se venda).