Segurança de TI: saiba como proteger seus dados na Internet

ebook para Segurança de TI

Por que falar em Segurança de TI?

O assunto Segurança de TI é muito falado e pouco executado. As pessoas sempre falam da relevância que a segurança deve ter, e da preocupação que isto traz. Mas a maioria ignora quaisquer políticas de segurança, desde a troca periódica de senhas até a atualização de sistemas, passando por controles de acesso, filtragem e backup.

O objetivo desta série de artigos é esclarecer, alertar e ajudar.

  • Esclarecer questões relacionadas à segurança de TI;
  • Alertar quanto à necessidade de pensar em segurança de TI;
  • Ajudar a pensar e agir a respeito de segurança de TI.

Então, primeiro vamos falar um pouco sobre segurança, para que seja entendido por que ela é necessária e nunca suficiente.

Por que falar em segurança?

Vivemos numa sociedade cada vez mais conectada e dependente de tecnologia. Um adolescente, por exemplo, não pode viver sem o seu celular, conectado à Internet, escrevendo, lendo, consumindo conteúdo. E não são apenas os adolescentes: Uma parte importante das mudanças que a sociedade mundial vem vivendo são os smartphones.

A Internet, em si, transformou a sociedade mundial de uma forma impressionante em pouco tempo. Na verdade, muito do que já fazíamos antes da Internet, continua sendo feito agora. Mas aumentou e muito a agilidade (muito mais rápido), o alcance (muito maior) e a participação: Para tornar-se um produtor de conteúdo, é necessário muito menos do que antigamente. A neutralidade da rede (um dos pilares do Marco Civil da Internet) garante que um blog de uma senhora na terceira idade tenha tanta relevância para a rede quanto o portal de uma grande empresa de mídia. Todo mundo tem mais voz, e pode ter certeza, muitos deles querem falar o que acham.

E, por trás de tudo isso, existem programas, sistemas, redes, uma imensa infraestrutura que está longe de ser perfeita. Problemas acontecem.

O assunto segurança é algo que muitos falam e poucos exercem no seu dia a dia. Muitos deixam que outros se preocupem com o que eles deviam se preocupar, e com isso não sabem o que os contratos escondem, ou as garantias que lhe são dadas. Afinal, quem nunca ignorou uma licença de uso de um software ao instalar, e simplesmente clicou em Avançar sem lê-la?

A Internet não é um parquinho infantil, mas também não é uma selva de pedra. Ela simplesmente reflete a sociedade onde vivemos, tanto positivamente quanto negativamente. Logo, existem locais onde podemos (e devemos) ir, e locais onde ir torna-se perigoso; existem pessoas com as quais podemos conversar e outras que devemos ter pelo menos cautela na fala; e existem procedimentos que devemos tomar para nos proteger. Ninguém deixa a porta de casa destrancada e aberta, se não souber que realmente pode fazer isso. Feito isto, vamos falar sobre segurança

Alguns números sobre segurança de dados

Existem várias fontes para obter dados a respeito de segurança de TI, e que traz à baila a questão de que não estamos tão protegidos como achávamos que estávamos. Antes, é bom indicar um artigo que relaciona 10 vulnerabilidades de segurança mais comuns. Entre eles, temos software mal escrito, problemas com a criptografia, vazamentos de dados, acessos indevidos, deficiente validação de dados, entre outros.
Finalmente, vamos a alguns exemplos do que temos hoje em dia, em termos de segurança:

2016 foi o pior ano do phishing, segundo o Anti-Phishing Working Group, num total de 1.220.523 incidentes, 65% a mais do que em 2015. Phishing é uma forma ilegal de obter informações pessoais a respeito de uma pessoa, como senhas ou cartão de crédito, CPF e número de contas bancárias. Isto é feito enviando e-mails falsos ou direcionando possíveis alvos a sites falsos.

Apesar de alguns acharem que ligações telefônicas são seguras, uma falha de segurança permite que sua privacidade seja invadida, de forma que alguém possa ouvir suas ligações, copiar suas mensagens de texto, obter sua localização, entre outras possibilidades.

Um banco de dados Oracle foi invadido e informações (nomes, usuários e senhas) de centenas de funcionários da Petrobras e da empresa de consultoria Accenture foram colocados na Internet. Por mais que a empresa diga que os dados são de um sistema interno de demandas administrativas em fase de desativação, com nível de proteção menor, ainda é assim uma invasão.

Vazamentos de dados, a propósito, causam prejuízos financeiros para empresas em geral, inclusive no Brasil. Um estudo do Ponemon Institute demonstra que as empresas perderam, em média, R$ 3,96 milhões com vazamentos de dados. Cerca de 38% dos vazamentos foram causados por ataques maliciosos. Aliás, vazamentos de dados são mais comuns do que parecem, visto que uma falha humana fez com que dados do Cartão Nacional de Saúde fossem vazados na Internet.

Depois de roubar informações pessoais ou criar confusão nos computadores, agora temos os ransomwares. Estes são programas maliciosos que cifram (criptografam) toda a informação que há no seu computador e exigem uma quantia em dinheiro para divulgar a senha e permitir o processo inverso. Ou seja, esse software sequestra seus arquivos e exige um resgate. A própria Telefônica de Espanha foi vítima de um ransomware, e cerca de 85% dos seus computadores foram afetados.

Uma triste estatística para o nosso país é saber que empresas brasileiras, como bancos, são o quarto maior alvo de ataques hackers, conforme visto numa pesquisa que listou ataques semelhantes em 31 países. Até mesmo o WhatsApp, conhecido programa de mensagens instantâneas, foi vítima de golpes. Apesar de implementar criptografia na comunicação entre usuários (o que aumenta em muito a segurança), golpes são infelizmente comuns. Podemos listar o golpe baseado em futebol que fez mais de 2 milhões de vítimas. E não foi o primeiro golpe e nem será o último. Antes desse golpe, vários outros foram aplicados, inclusive um, por ocasião da Páscoa, que fez pouco mais de 300 mil vítimas.

Hoje em dia é muito falada a Internet das Coisas (IoT), onde dispositivos eletrônicos usados no dia a dia (como aparelhos eletrodomésticos, eletroportáteis, máquinas industriais, meios de transporte etc.) estão sendo interligados à Internet. E eles já são vítimas de ataques cibernéticos. Um software malicioso recentemente descoberto é capaz de atacar mais de 1000 diferentes modelos de câmeras IP, e é certo que contaminou mais de 100 mil câmeras ao redor do mundo.

Em servidores Web, o problema não é diferente. Recentemente, uma falha de segurança foi encontrada no servidor Web IIS 6.0, da Microsoft, e a empresa não deve liberar uma correção para esse software, visto que esse software foi descontinuado. Mas isto não quer dizer que falhas não ocorram em outros servidores Web, linguagens e sistemas. Elas ocorrem, e são listadas em sites como o SecurityFocus.
Na Internet brasileira, é célebre a história do site encurtador de URLs migre.me. O serviço estava hospedado em um provedor brasileiro, que perdeu todos os dados do serviço em seu storage, durante uma migração. O serviço teve um backup antigo restaurado e foi migrado para outro provedor.

Este artigo faz parte do e-book "Seus dados estão realmente seguros?". Baixe gratuitamente e tenha acesso ao material completo: http://hostnet.com/ebookseguranca

Write a Reply or Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *