Segurança da informação em 2014 começou quente

O tempo cada vez mais prova que aquele ponto que você não endereçou durante o seu “security assessment” vai ser justamente o ponto a ser explorado por criminosos que estejam tentando entrar no seu sistema. Não adianta um investimento faraônico na infraestrutura básica de segurança da informação se outras áreas não forem cobertas. Um exemplo clássico aconteceu recentemente aqui nos EUA quando uma empresa grande chamada Target foi vítima de um roubo maciço de cartões de créditos de clientes (110 milhões de clientes afetados) durante as compras de fim de ano. Nesta quarta eles revelaram que as credenciais usadas para entrar no sistema foram de “vendors”, ou seja, de parceiros/contratados e não de funcionários “full time”.

Porém isso é apenas uma parte de um problema maior, o problema é que nos dias de hoje somos alvos de um esquema internacional muito maior. O malware (BlackPOS) usado para este ataque foi criado por um estudante na Russia, porém ele não teve participação no crime, ele apenas é o autor do software que foi vendido na Europa no blackmarket. Isso significa dizer que o uso do BlackPOS poderá ainda afetar outras empresas, tendo em vista que não sabemos quem adquiriu este malware e como será usado. Apesar de uma ferramenta já ter sido criada para detectar, ainda não é o suficiente, pois muitas empresas têm vínculos com parceiros e estes parceiros poderão não ter o mesmo nível de preocupação com segurança da informação que a empresa tem.

Isso é apenas um “wake up call” para mostrar que todas as empresas que geram dinheiro estão suscetíveis a serem atacadas a partir do momento que elas se plugam na Internet. Não há mais como ignorar a segurança da informação como algo interessante de ter mais não ser uma prioridade, tem que ser sim prioridade número um. Porém este “wake up call” não deve ser apenas para as empresas, mais para todos os profissionais da área de tecnologia, todos precisam ter um conhecimento básico de segurança da informação. O desenvolvedor que está criando sua aplicação tem sim que conhecer segurança da informação. Eu venho falando sobre isso a muito tempo e espero que um dia eu veja acontecer: segurança da informação deveria ser uma disciplina MANDATÓRIA em qualquer curso (bacharel, tecnólogo, etc) de tecnologia. Quem trabalha com tecnologia da informação precisa saber o básico de SI, e este básico não é apenas saber que precisa instalar updates e ter uma senha longa, a barra aumentou amigo, agora o básico vai muito além disso.

Ainda falando sobre alguns acontecimentos deste ano, é importante também citar que um dos blogs da Microsoft foi hackeado pelo Syrian Eletronic Army, umas das contas do Twitter e do Facebook da CNN foram também hackeadas pelo mesmo grupo e ontem o Yahoo revelou que várias contas de email foram comprometidas. O que temos aqui é apenas um pequeno exemplo do que está acontecendo e do crescente número de ataques em grandes corporações em menos de 45 dias. Essas são corporações que investem em segurança e mesmo assim são atacadas com sucesso, imagina se não investisse em segurança da informação? O estrago seria maior.

O tema requer tanto do mercado que a demanda por CISO (Chief Information Security Officer) nos EUA aumentou de 50% para 100% nos últimos dois anos e empurrou a variação salarial de 350 mil dólares a 1 milhão de dólares por ano. Isso mostra o quão as grandes empresas estão levando segurança a sério, pois é um trabalho diário, continuo e de longo prazo. A força tarefa para manter uma ambiente seguro tem que estar sempre vigilante, não da para relaxar pois é neste relaxamento que você será atacado.

A dica para começar 2014 é simples: invista em segurança da informação na sua empresa e para você profissional de tecnologia da informação, procure aprender mais sobre segurança da informação.

Um excelente 2014 para todos!

This entry was posted in segurança, segurança da informação. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s