Mauricio Pereira Santiago
Diretor da ATIVA SERVIÇOS DE INFORMÁTICA LTDA

Este artigo tem por objetivo apresentar, resumidamente, as vulnerabilidades mais comuns encontradas em ambientes e processos que contem com ferramentas digitais, nomeadamente aos acessos remotos via internet nas pequenas e médias empresas, e propor procedimentos que mitiguem os riscos digitais.

O conceito de segurança da informação vem passando por grande transformação desde quando os ambientes computacionais começaram a ser realmente estruturados nas organizações, em meados dos anos 70.

A preocupação fundamental era preservar os dados, no sentido de prevenir todo o ambiente contra algum sinistro que fizesse com que as informações fossem perdidas.

Os dispositivos de armazenamento eram muito frágeis, pouco confiáveis e com baixa durabilidade. Além disso, os processos de geração de cópias dos dados eram complexos e lentos.

A evolução dos meios de armazenamento de dados, com dispositivos digitais de alta velocidade e durabilidade, além da queda nos custos de aquisição, fazem com que este problema seja facilmente equacionado, em qualquer organização que disponha de processos regulares de cópia das bases de dados, os chamados backups.

Com o surgimento do conceito de armazenamento em nuvem, impulsionado pela internet mais estável e em banda larga, os processos de backup, que devem ser automáticos, são praticamente transparentes, inclusive em ambientes pequenos e domésticos, por conta de aplicativos como o Google Drive (Google), One Drive (Microsoft) ou ICloud (Apple), dentre outros.

De fato, o foco de preocupação que norteava os projetos de segurança digital mudaram e, atualmente, muito mais relevante e necessário, é cuidar da guarda dos dados em relação aos acessos, garantindo sua inviolabilidade e privacidade.

As redes privadas, conectadas ao mundo por um acesso a internet, os dispositivos desenvolvidos no modelo de IoT além dos poderosos gerenciadores de bancos de dados atuais, capazes de manter, processar e gerar milhões de informações, formam o novo cenário onde a Gestão da Informação deve atuar.

Talvez o maior desafio seja exatamente este: lidar com a velocidade da mudança. Com cada novo paradigma computacional, nuvem, Big Data, IoT, etc., surgem novas capacidades e possibilidades e, com elas, novas vulnerabilidades de segurança que podem ser exploradas.

Junte tudo isso ao novo modelo de comunicação da sociedade, pelas redes sociais, onde as postagens tem objetivos diversos, passando por informação, exibicionismo, diversão, interações entre amigos e familiares além de assuntos profissionais, e teremos caminho aberto para crimes cibernéticos de engenharia social.

Pensar, nos dias de hoje, que desenvolver uma Gestão da Informação é algo exagerado para pequenas e médias empresas é aceitar que, am algum momento, num curso espaço de tempo, a organização terá seus dados e informações comprometidos. E talvez o prejuízo seja irrecuperável.

O objetivo deste artigo é buscar apresentar a problemática da segurança da informações nas PMEs, especificamente nos ambientes não relacionados a uma cultura de Tecnologia da Informação (TI), e colaborar para despertar nos gestores a necessidade de entender a dimensão e significado das informações organizacionais, principalmente aquelas relacionadas a estratégia e aos clientes.

A segurança da informação é um conceito que frequentemente é pouco relevante para os gestores em empresas de pequeno ou médio porte, talvez por avaliar que os dados da organização não sejam importantes ou valiosos ao ponto de despertar o interesse de potenciais invasores.

De acordo com o relatório anual de cibersegurança da Cisco [1], muito mais eficaz do que aplicar grandes investimentos em tecnologias de segurança (que obviamente são importantes e não podem ser desprezadas), é investir em estratégias de conscientização dos colaboradores, associadas a treinamentos constantes sobre os riscos e vulnerabilidades presentes.

Trata-se, de fato, de promover o amadurecimento do usuário de modo que consiga, naturalmente, identificar as potenciais situações de risco e, assim, evita-las.

De acordo com SILVA M. COSTA [3] qualquer modelo de segurança da informação precisa atuar basicamente em 4 frentes: confidencialidade, integridade, disponibilidade e fator humano.

O que torna a informação relevante?

A informação é a base para a tomada de decisão e para qualquer ato de gestão. Daí a necessidade de organizar e proteger o armazenamento e o fluxo de dados. E é para isso que existem os Sistemas de Informação.

OLIVEIRA [4] afirma que a informação é um recurso vital para a empresa e integra, quando devidamente estruturada, os diversos subsistemas e, portanto, as funções das várias unidades organizacionais da empresa.

Uma informação consistente poderá ser simples (ao ponto de ser compreendida) ou complexa (que precise ser traduzida), flexível (de modo que possa ser utilizada em diversas frentes) ou específica, mas certamente terá que ser confiável e precisa.

O que é invasão por Engenharia Social?

A não percepção de que uma informação aparentemente pouco interessante pode ser importante faz com que, de modo geral, os utilizadores não se preocupem em analisar o dado antes de divulga-lo.

Muitas vezes dados e informações são disponibilizados pelas pessoas sem querer, dentro de um contexto que, a princípio, nada tem de importante ou valioso. Isto acontece normalmente em posts e comentários pessoais nas redes sociais digitais ou simplesmente respondendo perguntas diretas.

Chamamos invasão por engenharia social ao conjunto de técnicas utilizadas para se obter informações sem a necessidade de invasões físicas de sistemas ou utilizando poderosos algoritmos de quebra de senhas.

Algumas das estratégias utilizadas neste processo de captura de informações são análise do lixo documental da empresa, internet e redes sociais, contato telefônico e até abordagem pessoal.

Pense, por exemplo, no caso da secretária que recebe uma ligação telefônica de alguém em nome da agência de turismo responsável pelas compras de tickets aéreos para a empresa solicitando dados do Diretor afim de efetuar o pedido e emitir a passagem. Nesta altura, alguns dados muito simples já são de conhecimento do interlocutor, que os utiliza para criar ambiente de confiança e empatia.

Não raro, sem qualquer verificação mais apurada, informações importantes são disponibilizadas.

Mitnick [5] abordou este problema de forma técnica e pedagógica quando diz que “Engenharia social usa a influência e a persuasão para enganar as pessoas e convence-las de que o engenheiro social é alguém que ele não é.

Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem uso da tecnologia.”.

E as redes sociais digitais?

Redes sociais digitais referem-se ao uso das tecnologias baseadas na web e mobile de forma a transformar a comunicação num diálogo interativo.

Convencionou-se chamar simplesmente redes sociais as plataformas como Facebook, Twitter, Instagram, entre outras. Tais ferramentas não são redes sociais e sim plataformas digitais, mídias que servem de suporte para a interação entre as diferentes redes sociais das quais cada indivíduo faz parte.

Assim, rede social é o conjunto de pessoas que se reúne por conta de algum vínculo, interesse ou atividade comum.

Esta observação é fundamental porque demonstra que mais importante do que a plataforma ou a tecnologia envolvida, é seu aspecto relacional.

A matéria-prima dessa nova comunicação é o relacionamento. É por ele e por meio dele que informações e ideias se propagam e são situadas.

Este é o ambiente onde compreensão, informação e relacionamento se unem para configurar a comunicação colaborativa ou interativa.

O não entendimento desse aspecto fundamental leva a erros na utilização estratégica das mídias digitais pelas organizações e a não preocupação ou filtragem de postagens pelos usuários, configurando um cenário de vulnerabilidades, a partir do que é exposto.

Neste contexto, não se trata somente de configurar corretamente a rede social definindo quem poderá ver as postagens, quais informações pessoais estarão visíveis ou quais fotos ou imagens podem ser compartilhadas.

A maioria das redes sociais oferece interface para estas definições. Isto é o básico, apesar de quase ninguém configurar sua rede utilizando os filtros de segurança.

É preciso que as organizações invistam em treinamentos que desenvolvam nos usuários um filtro natural sobre o que postar, desenvolvendo capacidades de analisar o valor da informação e como ela pode ser utilizada de forma maliciosa.

Tratamos aqui de informações aparentemente inofensivas, como posts que mencionam horários de trabalho e intervalos, celebrações sobre resultados alcançados, desafios e metas e até problemas cotidianos.

São informações postadas para o grupo de relacionamento da rede que nem sempre é formado só de “amigos”.

Trata-se de mudar a forma como a informação é vista, sempre pensando em possível vulnerabilidade relacionada na publicação.

Isto é um processo, demanda tempo e esforço para ser efetivo e precisa ser constante.

Pensar na Gestão do risco ao invés de pensar no risco. “É praticamente impossível debruçarmo-nos sobre a temática da segurança da informação sem nos depararmos com termos como ‘Gestão do Risco’, diz o artigo da SINFIC [7].

O que é phishing?

A ideia de ataque por phishing é, em essência, extremamente simples. De fato, para que este tipo de ação tenha sucesso precisa da anuência do usuário, “ autorizando” o ataque.

Pode ser encontrado mais frequentemente em redes sociais e e-mails, sendo este último, o canal mais utilizado no ataque, principalmente em ambientes organizacionais.

Resumidamente, é uma mensagem falsa, que tem em seu conteúdo alguma instrução que exija ação do usuário, que pode ser, por exemplo, abrir um arquivo (que conterá algum código malicioso a ser instalado na máquina) ou acessar um link (normalmente direcionando a navegação para uma página clonada que solicita dados de autenticação como se fosse o endereço verdadeiro).

O conteúdo da mensagem será sempre relacionado a algo relevante que cause surpresa ou confusão ao usuário e o leve a executar a ação de imediato, seja de caráter pessoal ou em assuntos relacionados a organização em que atua.

Uma forma mais específica de phishing que pode atacar as organizações é conhecida por Spear phishing. Já documentada pela SYMANTEC [8], trata-se de uma versão personalizada do phishing, disparado para pessoas específicas. O texto da mensagem tende a ser altamente relacionado com o negócio da organização ou atividade do usuário. Estas informações são, frequentemente, encontradas nas redes sociais, em posts, conforme já mencionado ou obtidas por engenharia social.

Finalmente, o caso de ataque por phishing mais sofisticado é conhecido por Business E-mail Compromise (BEC), que consiste no envio de uma mensagem que solicita a ação específica de um componente da organização. Vem de um endereço de e-mail da própria organização, normalmente de algum Diretor.

São golpes mais elaborados, que envolvem pesquisa de informações sobre os departamentos e pessoas associadas bem como relações hierárquicas. Em muitos casos são realmente enviados pelo e-mail de algum executivo ou diretor, que teve sua conta invadida.

Novamente, os caminhos mais fáceis e naturais de se obter tantas informações são via redes sociais dos colaboradores da organização e engenharia social.

Há também a possibilidade de, em um ataque por fishing bem sucedido, ser instalada no dispositivo da vítima alguma aplicação que será executada em segundo plano (de forma escondida) com objetivo de monitorar e capturar ações do teclado, buscar por informações específicas, abrir acesso a rede privada ou até execução de vírus (por exemplo tipo ransomware, que codifica todos os dados do disco rígido e dá prazo para que seja pago resgate e se tenha acesso a senha de decodificação. O não pagamento levará ao apagamento total das informações).

E a tal da Internet das Coisas (IoT)?

Pressionadas pela necessidade de inovação e eficiência nos negócios, as empresas estão adotando, cada vez mais, o IoT (Internet of Things).

Porém, conectar centenas de “coisas” às redes corporativas pode resultar em sérias brechas de segurança, se não forem adotados procedimentos importantes de configuração e acesso.

Kevin Ashton [9] apresenta a seguinte definição para o termo ‘Internet das Coisas’: “A ‘Internet das Coisas’ significa sensores conectados à Internet e comportando-se de forma semelhante à Internet ao criar conexões ad hoc abertas, compartilhando dados livremente e permitindo aplicações inesperadas, então os computadores podem entender o mundo ao redor deles e se tornarem o sistema nervoso da humanidade. ”.

De modo geral, um ambiente de IoT consiste em termos diversos equipamentos, máquinas ou dispositivos conectados na mesma rede através de uma estrutura técnica e lógica de conexão (internet, wifi, blue tooth, RFID, etc), com troca de informações em tempo real, interagindo diretamente com os sistemas da organização.

O problema de segurança em um ambiente de IoT é potencializado porque muitos dos dispositivos conectados na rede (câmeras IP, controlos de portas, alarmes, termostatos, sensores, smart tvs e até celulares) apresentam vulnerabilidades, como brechas nos controles de acesso (ex. senhas fracas de fácil identificação), criptografia dos dados simples (que permite a interceptação durante a transmissão) e falhas no processo de gestão dos dispositivos conectados (atualizações, trocas, revisões, inventário, políticas de credenciais, etc).

De acordo com o relatório da IBM Developer Works [10] a gestão de um ambiente com IoT vai desde a autenticação, inclusive baseada em certificado, até autorização e validação de ID do aplicativo.

Quanto maior o número de dispositivos conectados ou interagindo com os sistemas da organização mais vulnerabilidades poderão ser encontradas e a gestão de risco deverá ser capaz de monitorar o fluxo de dados e manter a segurança da informações.

Soluções de IoT para pequenas e médias empresas tem sido desenvolvidas no sentido de oferecer serviços que contem com custos menores de aquisição, implantação e manutenção além de prover todo o ambiente de níveis de segurança aceitáveis para a grande maioria das aplicações (um exemplo são as soluções integradas de IoT da VODAFONE [11]).

São soluções onde a parte estrutural e física da gestão de risco fica sob a responsabilidade dos provedores, o que minimiza consideravelmente a necessidade de expertise em TI ou segurança da informação pelas PMEs.

Ainda assim, se os dispositivos de IoT estiverem integrados a rede da organização por conexões locais (nomeadamente redes wifi), serão necessários procedimentos importantes na configuração dos dispositivos, no que diz respeito principalmente as credenciais de conexão e acesso (senhas, configurações de restrições, etc).

O que pode ser feito?

Como implementar uma gestão de controle de riscos para as informações? Como implementar a segurança da informação? Quais procedimentos devem ser adotados e em qual ordem?

A primeira ação deve ser no sentido de desenvolver uma rotina de verificação de versões e atualizações dos softwares da organização. Estas verificações são, frequentemente, negligenciadas nas PMEs.

Periodicamente, os desenvolvedores (incluindo o Sistema Operacional) disponibilizam atualizações que corrigem falhas de segurança identificadas.

Neste contexto estão não somente servidores mas todos os dispositivos que, de algum modo e em algum momento, se conectem à rede da empresa. Este processo deve ser executado de forma sistemática.

A partir daí, implementar dispositivos complementares de autenticação às redes da organização.

Ações simples, como utilização de teclados virtuais e token, já diminuem, de forma relevante, as vulnerabilidades. Da mesma forma, filtros que obriguem criação de senhas mais fortes (com tamanho mínimo, letras maiúsculas e minúsculas, números e caracteres especiais, juntos em sequencia aleatória) e periodicidade definida para troca de senha, melhoram muito a segurança.

Ambientes que permitem acesso remoto podem solicitar certificados digitais [12] para acesso.

O relatório “Segurança Digital e Privacidade no Sector Bancário - Desafios Tecnológicos”, da Consultoria Deloitte [13] propõe que a atuação se apoia em 4 pilares:

A. Compromisso da gestão Top-down

B. Operacionalização das Políticas, Processo e Procedimentos de segurança

C. Auditoria e Compliance

D. Educação e consciencialização da organização

Especial atenção se faz necessária em relação aos programas de treinamento e consciencialização dos colaboradores.

O programa deve prever treinamentos constantes e regulares sobre engenharia social, divulgação de material informativo (físico e digital), estímulos e avisos para utilização das rotinas de atualização dos aplicativos de segurança em dispositivos pessoais e checagem periódica das configurações dos equipamentos corporativos utilizados pelo colaborador, preferencialmente na presença do utilizador do dispositivo.

Referências Bibliográficas

[1] https://cybersecuritynews.com.br/2017/02/10/cisco-divulga-relatorio-de-ciberseguranca-2017/ acessado em 25 mar 2017

[2] https://www.iso.org/standard/39612.html acessado em 25 mar 2017

[3] SILVA, Maicon H. L. F. da; COSTA, V. A. de S. F. O fator humano como pilar da Segurança da Informação: uma proposta alternativa. Serra Talhada (PE), 2009. Disponível em: . Acesso em: 30 mar 2017

[4] OLIVEIRA, D. P. R. Sistemas, Organização e Métodos:Uma abordagem gerencial, 12a. edição, São Paulo, ATLAS, 2001

[5] MITNICK, Kevin D.; SIMON, William L. The art of intrusion: the real stories behind the exploits of hackers, intruders, and deceivers. Indianapolis: Wiley Publishing, 2005.

[6] POPPER, Marcos Antonio; BRIGNOLI, Juliano Tonizetti. ENGENHARIA SOCIAL: Um Perigo Eminente. [2003]. 11 f. Monografia (Especialização)– Gestão Empresarial e Estratégias de Informática, Instituto Catarinense de Pós-Graduação – ICPG, [S.l.], [2003]. Disponível em: . Acesso em: 19 ago. 2010M. Young, The Technical Writer's Handbook. Mill Valley, CA: University Science, 1989.

[7] SINFIC, Análise e Gestão do Risco em Segurança da Informação

http://www.sinfic.pt/SinficWeb/displayconteudo.do2?numero=24868 acessado em 30 mar 2017

[8] NORTON by SYMANTEC, https://pt.norton.com/spear-phishing-scam-not-sport/article, acessado em 30 mar 2017

[9] ASHTON, KEVIN. Ebook patrocinado pela ARUBA Networks Press Release, Hewlett Packard Enterprise company (NYSE:HPE)

[10] IBM Developer Work, documento web http://www.ibm.com/developerworks/br/library/iot-trs-secure-iot-solutions1/index.html, acessado em 01 abr 2017

[11] VODAFONE NEGÓCIOS, http://negocios.vodafone.pt/iot/gestao-de-produtividade.html acessado em 31 mar 2017

[12] Definição de Certificado Digital, versão não validada, https://www.infowester.com/assincertdigital.php acessado em 02 abr 2017

DELOITTE CONSULTORIA, Segurança Digital e Privacidade no Sector Bancário - Desafios Tecnológicos, http://www.apb.pt/content/files/Seguranca_e_Privacidade_Digital_no_sector_Bancario_Deloitte.pdf acessado em 02 abr 2017