DARYUS 
Durante cerca de 20 anos consultores, como eu, se esforçaram para conscientizar milhões de pessoas sobre os cuidados com a segurança da informação, a necessidade de cuidar da informação, controle de dados e etc. Porém, sempre volta a pauta a discussão sobre as formas inadequadas de controle de acesso (ou a falta dele), medidas de monitoramento ineficazes, usuários genéricos em uso, compartilhamento de dados sem controle e informações desnecessárias nas mãos de terceiros. Então por que só agora, com a GDPR e LGPD, estamos vendo uma enxurrada de VAZAMENTOS de dados no noticiário? Consequentemente, esses vazamentos geram exposição fazendo com que empresas sejam responsabilizadas e investigadas, além das multas milionárias. O que aconteceu com os executivos, principalmente os de TI que muitas vezes foram delegados para ver e resolver isso. Eles tiveram o apoio necessário? Eles subestimaram o que estava por vir? Eu tenho uma tese, e os motivos estão citados a seguir:
1) Falta de alinhamento e suporte, recíproco, entre TI e Áreas de Negócio:
Há muito falamos que o TI é negócio e blá, blá, blá. Sim, isso é uma verdade, mas tem muito TI que não passa de “mantenedor de suporte técnico avançado”, sequer sabe para onde o negócio vai estrategicamente e como a TI pode contribuir para isso. Todo empresário ou Diretoria Executiva, espera que seu líder de TI apareça numa manhã de segunda e diga: “Descobri uma maneira de vendermos mais, reduzir custos e tornar muito mais ágil todos os nossos processos. Tudo de forma segura, pelo smartphone dos vendedores, custando muito pouco e só leva uma semana para implementar!”. Mas, essa não é a realidade! Aliás, alguns nem são parte do “Board” e não se sentam a mesa nas reuniões de DIREX.
O TI muitas vezes não participa de mapeamento de processos, não participa de identificação e classificação das informações e nem foi preparado para gerir a segurança da informação, quando muito opera alguns controles de segurança da informação, e o principal, não está na mesa de decisões para decidir o futuro do negócio. Infelizmente, ainda assim existem diretorias que mesmo com a falta de equipe de TI, de investimentos, de conhecimentos, tendo uma EUquipe, quer que sejam a TRANSFORMAÇÃO DIGITAL do negócio, e para ontem.
Recomendação: Investir na equipe de TI e preparar TI para esse fim, comprar tecnologias de apoio após entender onde está a informação e como lidar com vazamentos caso ocorram. Monte uma equipe de Segurança da Informação respondendo para a Presidência e parceira da TI, de preferência não abaixo de TI.
2) Hardening fracos e superficiais:
Hardening, além de uma palavra muito legal, nada mais é que analisar as vulnerabilidades, riscos e fragilidades técnicas e reduzi-las ao máximo. Contudo há muita gente vendendo isso sem a execução do serviço que é preciso ser feito nas empresas. A equipe de TI interna raramente tem competência, tempo e braços para fazer isso. As contratadas externas precisam ser monitoradas e auditadas, ou melhor, o trabalho delas precisa ser auditado. Mas auditado como? Por outras empresas de consultoria que tenham conhecimento para tal. As auditorias raramente têm equipes para isso, portanto, considere contratar alguém para validar isso anualmente.
Recomendação: Contrate empresas de consultoria, que possam validar os serviços de hardening e se os controles de TI estão no lugar certo, fazendo a coisa certa. A maior ignorância digital é o TI achar que está seguro e passar isso para a Direção.
3) Alta Administração inerte, complacente ou negligente:
Esse item é o mais crítico, pois, “Só me mexo quando for lei…”, é uma das frases mais comuns que escutamos. Desde 2010 até hoje a Segurança da Informação ainda é vista como custo, entrave e burocracia por algumas diretorias e sócios. Bom, alguém precisa avisar a este tipo de diretoria que “ELES VÃO QUEBRAR!”. Daqui pra frente, se não sabe onde sua informação e dados de clientes estão de fato, onde os mantém, onde compartilha, como, quando e o porquê, você realmente tem sérios problemas.
Uma administração inerte ou reativa deveria ser presa preventivamente, pois é negligente consigo e com seus clientes e colaboradores.
O que estamos vendo agora com os vazamentos, é que esse tipo de brecha é algo mais comum do que se imagina, e seus dados privados, informações financeiras, incluindo as que estão com o governo, não estão seguras. Um dos motivos é que em algum lugar na cozinha da TI, um administrador de banco de dados e sua equipe, usam USUÁRIOS GENÉRICOS DE ADMINISTRADOR, ou seja, todos da equipe que ADMINISTRAM os bancos e bases, usam o usuário ADMINISTRADOR a senha 1234. Isso em uma empresa que vale bilhões de dólares e fornece soluções para hotéis, empresas aéreas, e-commerces e etc. Ou seja, terceirização complacente juntamente com parceiros despreparados e, um empurrará a culpa para o outro depois de vazar a vida de clientes, e seguros não resolverão.
Nota: A GDPR e LGPD são 10% privacidade e 90% proteção de dados e tecnologia. Seu jurídico precisará de ajuda e não de um TI lento, sem braços e sem competência para tal. Por ser lei, precisa estar com o Jurídico? Tem certeza? Inventariou sua informação e classificou ela?
Recomendação: Ser preventivo e não esperar acontecer. Incluir Segurança da Informação no planejamento estratégico e contratar serviços especializados para apoio ao jurídico e presidência.
4) Falta de capacidades técnicas para avaliar controle de acesso:
Como vai seu AD, ou seja, seu controlador de domínio, ou ainda, aquele servidor que controla os acessos a rede de todo mundo? Como é feita a gestão da concessão de acessos, perfis de usuários e grupos de administração e de TI?
Muitas equipes de TI estão “entre a cruz e a espada” nesse ponto. Equipes pequenas com muitas requisições e que já assumiram com tudo errado acabam por continuar mantendo a forma errada, muitas vezes por pura falta de conhecimento do tema e ausência de fundamentos na gestão dos servidores e sistemas operacionais. Falta investimento, falta controle, falta auditoria!
Bom, as grandes empresas sofrem auditorias, mas e as pequenas? Você acredita mesmo que o pequeno e-commerce de “Paulo” tem a infraestrutura e equipe de um grande provedor de TI? Se o grande tem problemas, imagine “Paulo”!
Recomendação: Pare, invista, faça uma análise/auditoria, crie um projeto com um parceiro e arrume a casa. Controle de acesso e bagunça em perfis de acesso, são a maior parte da origem dos incidentes de vazamentos de dados e informações.
5) Falta de competências de Segurança da Informação em TI:
TI é TI e segurança é segurança. Mesmo que o pessoal de TI conheça do tema e tenha estudado, focar todo o tempo em um ou outro é o ponto mais importante. Achar que conhece de segurança sem sair da cozinha e conhecer o negócio e processos, é uma baita ignorância digital, que vai levar provavelmente a incidentes como esse da Marriot e outros que estão na mídia. A pergunta que faço para os donos de empresa é, “Quem controla e monitora seu TI sobre isso?”. Não é questão de desconfiar, é questão de apoiar e de focar cada um na sua especialidade.
O que mais nos deparamos na consultoria são controles bons em lugar errado fazendo a coisa errada. Por implementações de TI, que se resumem a comprar, pagar e confiar cegamente, sem a mínima condição técnica de validar.
Recomendação: Investir em equipe de Segurança, contratar profissionais de segurança, permitir que façam planejamento, determinar verba de SI fora de TI, alinhar ao negócio e reciclar periodicamente a equipe de segurança própria ou terceirizada.
6) Diretoria Executiva não dando a mínima para Riscos, Crises e Continuidade de Negócios:
Se não entendem do que se trata, não investem ou colocam no planejamento. Portanto, temos muitas empresas no Brasil que não estão preparadas para crises de vazamentos de informação, ou pior ainda, sequer para detectar o vazamento e responder adequadamente ao mercado. Imagina só em responder Polícia Civil, Federal e ministério público.
Infelizmente o Facebook vai se consolidando quase como um serviço público de centralização do seus dados, informações, desejos e ambições. Ele supre o atraso e falhas de governos que não pensam digitalmente. Se pensassem o Facebook seria um serviço federal de identificação e controle. E se todos os tópicos tratados acima acontecerem no serviço público em todas as esferas, ou seja, estamos muito seguros mesmo com nossos dados e informações? Além disso, não podemos esquecer das empresas querem vender e “atender bem”. Fazem projetos pensando em criar conexões, obtendo dados e informações de consumo para vender ainda mais, antecipar suas vontades e sugerir a sua próxima aquisição. Onde começa o limite da invasão de privacidade? Campanhas com abuso? Erros de interpretações das leis vigentes? Como o TI e negócio podem se ajustar? E um componente muito importante, o marketing digital que vive no limite do que as leis pregam.
Você já tem seguro para vazamento de informações de clientes e/ou colaboradores? Comece a pensar nisso e reflita sobre os pontos acima. A multa é o menor dos problemas!
Ontem ao comprar vinhos, o vendedor me pediu: “Seu CPF senhor?”, e eu lhe perguntei: “Para que?”, e ele respondeu: “Para efetuar sua venda e cadastro”, eu disse: “Só quero comprar umas garrafas de vinho e não quero fornecer ou fazer cadastro!”, e ele me responde: “meu sistema só faz a conclusão da venda se colocar o CPF do cliente.”, então lhe perguntei: “Qual a segurança para proteger meus dados, para que usam isso e se compartilham?”, então ele ROXO, me disse: “senhor, não sei, mas tá tudo aqui nesse laptop e fechamos a loja no final do dia!”.
Acabei não comprando os vinhos na loja especializada, e vou ao mercado.
O GDPR e LGPD nos traz um novo ângulo sobre a precaução dos dados que disponibilizamos online e mais responsabilidade das empresas que detém esses dados. Segundo a Pesquisa Nacional de Segurança da Informação, 75% das empresas possuem preocupações frente a incidentes de perda ou vazamento de dados, 57% diz que a ameaça mais preocupante é o comprometimento de informações. O custo médio de violação de dados no Brasil é de R$1,24 milhão para empresa. Acesse a pesquisa completa: PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO.
Excelente matéria!