ESPECIAL | IBM: Cloud veio alterar regras do jogo

HOME

O uso massivo da cloud empresarial veio alterar as regras do jogo. Atualmente, as áreas de negócios das empresas estão migrando para a cloud e a segurança acaba sendo um ponto a ser questionado. “Os provedores da tecnologia da nuvem acabam sendo indagados sobre o controle dos riscos inerentes a esses problemas”, disse à B!T Felipe Peñaranda, líder de Segurança da IBM para a América Latina.

As empresas não tem noção do verdadeiro valor de seus dados. Um estudo da IBM aponta que 1 a 2% dos dados são responsáveis pela receita de faturamento das companhias. “Isso quer dizer que elas não têm a menor noção de onde estão efetivamente as informações delicadas de seus negócios. Ainda falta um amadurecimento muito grande para que comecem a localizar internamente onde estão esses dados críticos”, disse Felipe Peñaranda.

Para 2016, o responsável vê sobretudo três grandes tendências. A primeira, o facto dos cibercriminosos irem continuar agindo de forma organizada, como empresas, e criando cada vez mais ataques. “Estima-se que atualmente 80% dos ataques digitais estejam sendo feitos por esse tipo de ‘associação’, uma estatística cujo crescimento é esperado, vendo que cada vez mais indivíduos vêm sendo recrutados para esses grupos”.

Em segundo, Felipe Peñaranda mencionou os ambientes móveis. “Estamos vendo várias indústrias migrando seus serviços, um exemplo disso são os pagamentos móveis. Por isso, os criminosos estão se aproveitando dessas vulnerabilidades”.

Por último, a denominada cyber extortion, que é o sequestro de dados exigindo resgates. “Já é sabido que o ransomware é uma das áreas que mais crescem no cibercrime, pois são softwares maliciosos desenvolvidos para controlar um sistema de computador ou seus dados e solicitar pagamentos de suas vítimas. Esse tipo de ataque, muito comum em computadores, agora está migrando para as plataformas mobile”.

IoT traz novas discussões ao mercado

O IoT está gerando novas discussões no mercado de segurança. São milhares de dispositivos conectados, os mesmos que estão captando e gerando informações a todo instante. Para Felipe Peñaranda é muito claro que as empresas precisam se preocupar com a segurança desses dados. E também afirma que o grande pavio para a segurança são as aplicações utilizadas para conectar esses aplicativos. “Para ter uma ideia, 70% dos dispositivos disponibilizados estão com problemas de segurança. A segurança é fundamental. Dentro deste cenário, a gente acaba entrando em uma das tendências mencionadas na primeira questão, sobre a mobilidade e os softwares maliciosos criados para esses dispositivos”.

Felipe Peñaranda concorda com a ideia que, muitas vezes, a principal ameaça à segurança são os recursos internos. “Os funcionários e terceiros acabam ainda sendo os maiores culpados por incidentes. Colaboradores e terceiros descontentes ou mal-intencionados que tem acesso às informações sensíveis e cometem fraudes se beneficiando de seus privilégios e acessos. Além disso, funcionários que saem da empresa, ou invasores que se aproveitam da falta de conhecimento dos usuários para ‘plantar’ estratégias de pishing e fazerem com que a vítima clique em anexos ou links malignos para atacar determinadas áreas da empresa”.

Dados do time de segurança da IBM mostram que em 2014, 45% de todos os ataques online foram instigados e feitos por hackers que estavam focando em redes de alguma empresa. Em quase um quarto dos ataques, eles exploraram a vulnerabilidade e despreparo de colaboradores para invadir sistemas. Enquanto isso, 55% dos crimes virtuais foram causados por informantes de dentro da empresa.

Quanto ao BYOD, basicamente Felipe Peñaranda diz ser uma questão a ser melhorada. “O BYOD é uma discussão muito forte dentro das empresas, pois elas ainda não determinaram regras e políticas claras para o uso desses dispositivos. É importante ressaltar que é possível que a companhia tenha controle dos aparelhos por meio do Mobile Device Management (MDM), porém, é preciso explicar ao colaborador sobre esse monitoramento”.

Aplicativos suscitam dúvidas

As grandes dúvidas que vão surgindo às empresas são os aplicativos. Ou melhor, como lidar com apps. “Muitos tipos de ataque, comum em computadores, estão sendo migrados pelos invasores para as plataformas mobile. É importante ressaltar que em uma pesquisa recente da IBM, quase 40% das grandes corporações não tomam as precauções necessárias para garantir a segurança dos aplicativos que elas desenvolvem para seus clientes e também não protegem seus dispositivos móveis contra ataques cibernéticos”.

Em média, diz a IBM, as organizações testam menos da metade dos aplicativos desenvolvidos e 33% delas nunca os testaram, o que cria uma infinidade de pontos de acesso aos dados empresariais por meio de dispositivos inseguros.

Outra dúvida muito comum é quanto à cloud e como trazer essa tecnologia para o controle da companhia. “Frequentemente elas se perguntam quem está habilitando a área de segurança na cloud e muitas fazem o trabalho no que chamamos de Shadow TI, que é quando funcionários não possuem ferramentas e softwares adequados para exercerem suas atividades. O problema nesse cenário é que existem riscos de segurança e em geral os colaboradores não conseguem defender a rede da empresa proporcionando um ambiente favorável para brechas e invasões de hackers”, diz Felipe Peñaranda.

PME ainda não têm área segurança estruturada

Não é propriamente novidade que as PME ainda não possuem uma área de segurança estruturada. De acordo com pesquisa divulgada pela FIESP (Federação das Indústrias do Estado de São Paulo) no início do ano passado, 59% dos ataques cibernéticos registrados no estado de São Paulo atingiram as finanças das empresas, e mais de 60% desses atentados aconteceram em indústrias de pequeno e médio porte. “Isso quer dizer que elas não tem uma área e muito menos uma pessoa responsável por ela, como um CISO (Chief Information Security Officer). Diante disso, a área de segurança acaba sendo concentrada na área de TI. Entretanto, o nível de controle é muito básico e baixo. Geralmente são utilizados firewalls e antivírus insuficientes para bloquear ataques mais sofisticados”.

Quanto ao orçamento, diz Felipe Peñaranda, não existe uma definição. Infelizmente, quando as PMEs optam por direcionar um investimento para segurança e esse por algum motivo deve ser cortado, elas não pensam que isso poderá prejudica-las. Isso porque não existe uma fidelidade, a área de segurança não é vista com grande importância.


Clique para ler a bio do autor  Clique para fechar a bio do autor