Faturar bitcoins, vender dados e até mesmo realizar pagamentos, ou transferências, usando o ERP das empresas são alguns dos métodos habilidosos de invasão promovidas por hackers atualmente. A periculosidade é aumentada se pensar que tais ações contra a organização podem ser feitas por qualquer agente, seja um estranho ou até mesmo um colaborador mal-intencionado.
“A situação é preocupante porque as motivações de ciberataques deixaram de ser apenas para ganhos financeiros. São abordagens inovadoras que promovem danos físicos, roubam segredos comerciais, realizam invasões virtuais como forma de protesto e utilizam a infraestrutura comprometida para realizar outras invasões”, explica Marco Ribeiro, líder da prática de gestão de risco de TI da Protiviti, consultoria global especializada em Gestão de Riscos, Auditoria Interna, Compliance, Gestão da Ética, Prevenção à Fraude e Gestão da Segurança.
Como forma de alertar as empresas, a Protiviti aponta seis passos práticos cujo objetivo é avaliar e tratar os riscos de TI na identificação e correção de ataques por meio de uma auditoria baseada na gestão de vulnerabilidade. A estratégia da Protiviti é ressaltada num momento em que o custo médio devido a um vazamento chega a R$ 4.5 milhões, conforme dados do Ponemon Institute reportado no IBM cost of breach 2016. Já em fraudes relacionadas às vulnerabilidades de TI, a Association of Certified Fraud Examiners (ACFE) aponta prejuízos financeiros que chegam a 5% do faturamento anual das empresas.
Trazendo outros números para a realidade do Brasil, que é considerado o País mais atacado da América Latina, temos que os atacantes permanecem em média 242 dias sem serem identificados no ambiente e TI, sendo que outros 99 dias são necessários, em média, para que seja feita a contenção do ataque.
De acordo com a consultoria, a primeira medida preventiva é mapear a estrutura organizacional da empresa com atenção total para área de TI. O primordial nesta fase inicial é saber os motivos pelos quais os executivos acionam a área e conhecer todos os colaboradores e fornecedores, que têm passagens livres nos sistemas da companhia. Tendo este mapeamento em mãos, a segunda dica é saber como são executadas as atividades em Segurança da Informação. É pertinente nesse momento averiguar quais ações são inseridas nos processos de negócios da empesa. O terceiro passo é verificar se os riscos são medidos de acordo com o impacto ao negócio. E, principalmente, se há uma área da companhia dedicada à gestão de riscos.
A quarta etapa envolve a questão se os serviços fornecidos pela TI e SI estão definidos e catalogados, assim como, se estão estabelecidos através de processos e procedimentos. Um adendo importante neste estágio é saber se os controles são monitorados e se os eventuais incidentes são reportados aos responsáveis.
Já a quinta atitude é compreender as vulnerabilidades e os riscos que passam no ambiente de TI da empresa. De que forma a infraestrutura, os sistemas e as informações são protegidas? Há rotina de testes técnicos e de seus controles na operação de TI? São as duas indagações chaves a serem feitas.
Por fim, o sexto e último passo mostra como reportar os riscos ao board. A consultoria orienta três ações básicas: consolidar as vulnerabilidades em riscos relacionados a TI; associar quais riscos estão ligados às demandas de negócios e operacionais; e manter um dashboard periódico com riscos e planos de mitigação.
Portanto, a área de de TI das empresas pode servir de recurso para atacantes cometerem crimes eletrônicos e fraudes no ambiente interno ou em terceiros, sem que tenhamos conhecimento. Ataques como contra a DynDNS que comprometeu sites e serviços como o Twitter e o Spotify, promovido pela botnet Mirai, confirmam esta tendência. “O alerta é similar às instituições com ambientes na nuvem e que enfrentam os mesmos riscos dos ambientes convencionais. No entanto, devido ao grande volume de dados armazenados de várias origens, o cloud se torna um pool atrativo para os cibercriminosos. É preciso enfrentar esta realidade”, finaliza Ribeiro.