por
Helder Assis*
Em função do seu
crescimento consistente e acelerado, bem como da possibilidade de acesso a
dados pessoais sensíveis, o setor de saúde tem sido um dos principais alvos dos
cibercriminosos. Esse cenário tem forçado a necessidade de aperfeiçoamento da
postura de segurança de informações, de forma a preparar melhor as organizações
para minimizar as vulnerabilidades dos ambientes de TI, o que inclui o cuidado
com a gestão de acessos e os backups, dentre outros domínios.
Realizar as
adequações para acompanhar a expansão nem sempre é trivial, pois estamos
falando de serviços de alta disponibilidade, cujas ações que demandem uma
parada ou operação em contingência precisam ser muito bem planejadas. Além
disso, as fontes e as superfícies de ataques são as mais diversas, sobretudo
com a massiva adoção do trabalho remoto, que possibilitou aos cibercriminosos
dar mais foco a ações que envolvem engenharia social e redes domésticas, ou
seja, fogem do escopo de proteção das empresas.
Durante esse
período, casos de utilização de dispositivos pessoais para atividades
corporativas e conexões por meio de redes inseguras e de uso compartilhado
aumentaram, além das dificuldades para manter os dispositivos corporativos
atualizados e sincronizados com as diretrizes de segurança da empresa. E isso
abre, sim, brechas para ataques que afetam diretamente os sistemas e os dados
das empresas.
Neste cenário,
camadas de proteção tradicionais como firewalls e antivírus corporativos não
são mais suficientes. Os desafios, agora, passam por temas diversos que vão
desde a necessidade de definição das responsabilidades até a implementação de
requisitos tecnológicos. Dentre estes, podemos destacar três grandes preocupações:
- Conscientização
em Segurança da Informação: como já sabemos, o elo mais frágil nesse
processo é o ser humano. Portanto, a organização deve se preocupar em
desenvolver um plano forte de conscientização de segurança da informação e
privacidade de dados, de forma a aprimorar a cultura nestes temas.
- Home
office e seus desdobramentos: para que o trabalho remoto seguro seja bem
implementado, precisamos ter uma visão do papel do funcionário e, num
mesmo patamar de importância, a participação efetiva da empresa. Qual a
estrutura que deve ser disponibilizada ao funcionário? Quais são suas
responsabilidades, direitos e deveres? Quais serão as formas de
monitoramento das atividades, horários e jornada de trabalho? Como deixar
claro ao colaborador que, mesmo num home office, ele deve estar atento ao
código de conduta e ética de um ambiente corporativo? Esses
questionamentos, somados às diretrizes e processos de negócio, não podem
passar desapercebidos ao pensarmos em um corpo de normativos com políticas
e procedimentos padrões de boas práticas para o tema.
- Requisitos
tecnológicos: devem ser implementados e monitorados para garantir o mínimo
de segurança adequada, visando não só a proteção dos equipamentos, mas
principalmente das informações que por eles trafegam e estão armazenadas.
Para combater e reduzir a exposição e minimizar os impactos dos
cibercrimes, existe um arsenal bastante extenso de ferramentas. Também
fazem parte de uma boa rotina de defesa, as atualizações periódicas dos
ambientes e políticas de backup e testes de restauração.
Sobre as soluções que devem ser aplicadas, o cuidado vai além dos
tradicionais firewalls e antivírus, o que inclui as seguintes adoções: VPN
(rede privada virtual) para acesso remoto dos colaboradores; EDR (Endpoint
Detection and Response) para bloqueio de ransomwares e criptografia de arquivos
nos servidores, desktops e notebooks; DLP (Data Loss Prevention) para garantir
a integridade e preservar informações da empresa; WAF (Web Application
Firewall) para proteção contra ataques a aplicações; AntiSpam e Cofre de Senha.
Também é imprescindível que organização possua um SOC (Security
Operations Center), que é uma estrutura que realiza o monitoramento contínuo
dos eventos de segurança, escalando e mobilizando os times internos em caso de
qualquer incidente. Além disso, é essencial que as empresas tenham a visão de
que não basta simplesmente implementar ferramentas de segurança sem a definição
dos processos e responsabilidades internas que sustentem esse arcabouço
tecnológico.
Como vimos,
existem boas práticas para implementar medidas de segurança que combatem
ataques cibercriminosos. No entanto, não há uma ‘receita de bolo’ a ser
seguida, pois cada cenário deve ser avaliado especificamente para que as
melhores iniciativas sejam priorizadas de acordo com a necessidade de cada empresa.
Entretanto, um programa contínuo de treinamento e conscientização em Segurança
da Informação ajudará a elevar a postura de proteção e privacidade de dados dos
usuários, assim como um olhar específico sobre os requisitos tecnológicos já
disponíveis na organização e aqueles que eventualmente ainda precisam ser
planejados e implementados.
*Helder Assis é gerente de Cyber Security e de privacidade de dados na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.