Segurança da informação: o que aprendemos em 2017
Depois de uma série de ciberataques ocorridos ao longo de 2017, a tendência é que a ocorrência de incidentes contra a segurança da informação vão continuar a acontecer. E o Brasil permanece entre os países com uma alta incidência de problemas relacionados à segurança da informação. De acordo com dados de pesquisa divulgada pela PwC, o número de incidentes de segurança reportados por organizações brasileiras aumentou em 247%; à título de comparação, o aumento em escala global é de 38%.
Ciberataques envolvendo malwares como o Petya, o WannaCry e o Bad Habbit não pouparam o Brasil durante sua disseminação mundial nos últimos meses. De maio para cá, foram muitas as notícias envolvendo organizações públicas e privadas afetadas por um desses problemas. Diante desse cenário, seria normal pensar que as empresas e pessoas passaram a se preocupar mais com a segurança dos seus dados e o uso seguro da internet, correto? Nem tanto.
Analisando a partir de uma perspectiva de quem trabalha com defesa cibernética, o que notamos é que os ocorridos citados não foram suficientes para aumentar os investimentos das empresas brasileiras em medidas preventivas. Notou-se uma movimentação momentânea horas e dias depois dos ataques, sobretudo por parte de gestores e tomadores de decisão das organizações. Essa preocupação, no entanto, em muitos casos observados, não se converteu em uma estratégia de proteção, seja por aquisição ou revisão de processos.
Em outras palavras, as pessoas e empresas menos maduras e preparadas ficaram rapidamente comovidas com os incidentes de segurança que foram divulgados com ênfase. Nesse contexto, muitas olham para seus ambientes e procuram prestadores de serviço especializados, mas poucas efetivamente compram soluções para maximizar a segurança dos seus ambientes para, em consequência, diminuir o risco de ataques de sequestro de dados e outros derivados. Outras continuam optando pelo caminho mais curto, que é investir e revisar políticas de backup, ao invés de também direcionar esforços para técnicas de prevenção.
Ainda há um grande desafio para romper a ideia de que segurança da informação é algo caro, apenas para grandes empresas ou que um negócio pequeno nunca será atacado. Faltam mecanismos para conscientizar as pessoas – por exemplo, as que adotam o home office, prática profissional que se tornará mais comum nos próximos anos – e empresas sobre o perigo que ciberataques como estes podem gerar para seus negócios e/ou vida financeira.
As organizações brasileiras – independente do porte e segmento de atuação – ainda precisam se ater ao básico, desenvolvendo políticas internas mínimas para a segurança dos dados. Aquelas que trabalham com dados sensíveis normalmente possuem maturidade, mas não estão livres destes incidentes, por isso o momento (e muito mais o futuro próximo) requer atenção. Elas estão mais preparadas, possuem recursos e tem uma estrutura de governança e compliance forte. No entanto, representam uma minoria.
Enquanto não houver mais conhecimento e acesso à esse tipo de informação e mercado, a realidade no Brasil sobre segurança da informação continuará sendo a de vivenciar momentos de um breve pânico quando houver a divulgação de ocorrências dessas ameaças, seguida de uma falta de contenção das vulnerabilidades existentes e, por fim, manter-se alheio à proteção dos dados, julgando que jamais será vítima de uma ameaça dessa natureza. Por isso, é preciso mudar essa mentalidade e buscar medidas verdadeiramente preventivas para evitar problemas futuros maiores, seja em ambientes corporativos ou domésticos.
Fonte: Administradores.com
0 Comentários