Segurança, em baixa prioridade.

O valor perdido com esses vazamentos é alto, mas os executivos também não sabem de exatamente quanto.

A perda de dados no tráfego entre computadores, redes e celulares, envolvendo documentos sigilosos, informações relevantes e o roubo de identidades e de cartões de créditos de clientes, ainda não são tratados com a devida atenção dentro das empresas grandes, médias ou pequenas. O valor perdido com esses vazamentos é alto, mas os executivos também não sabem de exatamente quanto.

A conclusão é do relatório divulgado pela multinacional de segurança Websense, na semana passada, depois de ouvir 5 mil profissionais de TI de quinze países, Brasil incluído. O estudo expõe os pontos fracos da cibersegurança no mundo e a lacuna de comunicação entre as equipes de TI e os executivos na hora na proteção de ataques avançados. William Rodrigues, engenheiro de sistemas da Websense, adverte que as equipes de tecnologia estão “no escuro quanto ao roubo de dados e aos valores perdidos”. Informa que existe deficiência na proteção e sobre o que entra e o que sai das empresas.

Entre os entrevistados, 57% acreditam que suas organizações não estão protegidas contra ataques virtuais avançados. No Brasil, essa percepção sobe a 65%. Para mais da metade dos profissionais ouvidos, não seria possível evitar a saída de informações confidenciais. Entre as empresas brasileiras, 59% afirmam já terem sofrido ataques cibernéticos de grande efeito, infiltrados em redes ou em sistemas internos nos últimos 12 meses, e, pior, 69% admitem que as lideranças das companhias não acreditam que tais conteúdos estratégicos e sigilosos perdidos causem perda potencial de receita.

Outro fator de preocupação para os analistas de segurança é o desconhecimento desses profissionais sobre exatamente quais informações foram roubadas como resultado de um ataque virtual. Para Graziani Pengue, engenheiro sênior de sistemas, o simples pacote de antivírus já não é mais suficiente para proteger o setor corporativo. “As ameaças modernas interagem com as máquinas e o objetivo dos hackers é o desligamento de redes, ataques em massa e roubos”, detalha. “Antes, os hackers queriam somente conhecimento com as invasões; agora querem dinheiro”.

Os cibercriminosos entram nas várias camadas dos sistemas e em mais de um canal, fazem engenharia social, atingem pessoas chaves do departamento, pegam e-mails, sites mais navegados e documentos importantes para repassar adiante. Parceiros, fornecedores e clientes das companhias, de pequeno e médio porte, também são visados, pois estão menos protegidos.

EXEMPLO DA TARGET

Segundo os profissionais de segurança, três eventos principais obrigariam os executivos a destinarem mais investimentos à proteção corporativa: o roubo de propriedade intelectual; violação de dados de clientes e prejuízos por causa da inatividade do sistema.

O prejuízo à economia mundial provocado pelos crimes virtuais ultrapassa a US$ 400 bilhões conforme levantamento feito pelo Centro de Estudos Estratégicos Internacionais. Um dos exemplos clássicos mais recentes de prejuízos causados por hackers é o da rede de varejo norte-americana Target. No ano passado, em pleno mês do Natal, a companhia registrou o roubo de mais de 40 milhões de cartões de crédito de seus clientes por um software espião. Além de ter de pedir desculpas à clientela e se explicar no Senado pelo transtorno e pela negligência com sua política de segurança, a empresa amargou um prejuízo tremendo.

O Instituto Ponemon, responsável por pesquisas independentes sobre gestão da informação e privacidade de empresas e governos, avalia que o custo médio de cada registro (número de cartão) perdido represente US$ 188 para a vítima (no caso, a empresa). Isso significa não só o que companhia deixa de receber, mas os danos materiais e morais aos quais ela precisa se submeter. “Imagine isso multiplicado por 40 milhões de cartões”, diz Rodrigues.

O relatório da Websense (conduzido pelo Instituto Ponemon) demonstra que essa é uma situação que deve estar acontecendo com as empresas brasileiras também. De acordo com o relatório, 80% dos profissionais de TI entrevistados disseram que os líderes de suas companhias não acreditam em diminuição de receita com o vazamento de informações confidenciais. Mais: metade das companhias, dizem eles, não oferece educação em cibersegurança aos seus funcionários.

Os analistas de segurança recomendam soluções de proteção mais avançadas e que protejam as várias camadas das redes, navegação na Web, e-mails, dados armazenados na nuvem, com rastreamento e monitoramento da movimentação das informações confidenciais. Esses sistemas já estão disponíveis no mercado. Um deles é o Triton Security Solutions, que mantém vários níveis dessas movimentações protegidas dentro e fora das companhias.

MOBILIDADE EM RISCO

E isso vale também para os aparelhos móveis usados em pequenas e médias empresas e em escritórios de profissionais liberais, já que os telefones funcionam como computadores e são visados pelos criminosos. A finlandesa F-Secure estima em 614% o crescimento de ameaças mobile neste ano (em relação a 2013), destacando a existência de 900 mil tipos de vírus e malwares circulando entre os smartphones e tablets, especialmente em Androids.

Leandro Hernandez, vice-presidente para a América Latina da F-Secure, chama a atenção para o uso em massa de telefones entre funcionários das PME como principal dispositivo de trabalho e, muitas vezes, sem tomarem precauções devidas no trato dos documentos, agendas e informações confidenciais contidas neles. Para se conseguir privacidade online e segurança é preciso mais do que senhas fortes, a mobilidade também está exigindo soluções completas que vão além do antivírus.

Um aplicativo voltado para essas funções é o Freedome. Ele foi desenvolvido para proteger a navegação do usuário, impedindo o rastreamento dos endereços pesquisados (sites, buscadores). Esse bloqueio também se aplica aos anunciantes com seus cookies (arquivos que armazenam preferências dos internautas). Mesmo que esteja em zona wi-fi, o internauta poderá usar o smartphone para transmitir informações da empresa, por um canal Virtual Private Newtork (VPN) para proteger e criptografar esses dados. Além disso, o endereço IP do funcionário fica encoberto por outro número IP da empresa de segurança e originado em diferentes países. O software está disponível para Android e iOS.