Cinco passos para proteger sua empresa dos hackers
6 de junho de 2015Impedir o avanço de hackers nem sempre é impossível. Talvez seja difícil de acreditar, se acompanhamos as manchetes na imprensa.
Por Charis Tsevis for The Wall Street Journal
No fim de 2013, várias grandes empresas americanas foram assoladas por ataques violentos: a varejista Target Corp. teve 40 milhões de números de cartões de crédito roubados por hackers russos. Entre outras vítimas estão a rede de materiais de construção Home Depot Inc., a fabricante de software Adobe Systems Inc., banco JP Morgan Chase & Co. e o site de leilões eBay Inc., só para citar algumas.
A ameaça não vai desaparecer porque há muitas vantagens para os criminosos de plantão. Mas os especialistas acreditam que, com um pouco de preparação, as empresas podem alcançar uma segurança tecnológica muito mais abrangente. Grande parte dela tem a ver com uma boa higiene cibernética. Isso inclui coisas chatas que as empresas deveriam estar fazendo, mas muitas vezes ignoram: atos simples como atualizar regularmente o software, fazer auditorias de rotina em seus sistemas e garantir que seus fornecedores adotem rígidos padrões de segurança.
Obviamente, é possível que os hackers sejam tão determinados e hábeis que nada os impeça de agir. Para as empresas, só resta proteger seus sistemas o máximo possível. Aqui, algumas dicas:
Mantenha-se atualizado
Em 2014, mais de 30% das novas ferramentas de hacking descobertas por pesquisadores de segurança na Hewlett-Packard Co. exploravam uma falha no Windows, da Microsoft, que foi detectada em 2010. A Microsoft divulgou uma correção há muito tempo, que deveria resolver a vulnerabilidade. Isso aponta para um dos principais problemas na segurança digital hoje: Muitas pessoas não atualizam seu software. Isso pode deixá-las expostas a todo tipo de hackers, que aprendem mais com cada ataque. Com as correções de software, “daria para impedir a maioria desses ataques”, diz Alan Paller, diretor de pesquisa do instituto SANS, um centro de treinamento de segurança cibernética.
A questão é que as empresas hoje constroem redes tão complexas e dependem de tantos fornecedores que mudar qualquer peça do sistema pode paralisar tudo. Então, muitas demoram meses e até anos para fazer as correções de software. E durante esse tempo, elas ficam expostas.
Feche as portas digitais
Muitas empresas não sabem quantos computadores têm, e às vezes não sabem quais estão on-line. Assim, as máquinas acabam ficando conectadas quando não precisam, tornando-se um alvo tentador para hackers.
No relatório de pesquisa da telefônica americana Verizon deste ano, considerado o mais completo da indústria, cerca de 25% das violações a sistemas de empresas americanas ocorreram com hackers entrando por meio de uma máquina que não precisava estar on-line.
Essas questões se tornam ainda mais pronunciadas à medida que as empresas constroem grandes redes e adquirem mais máquinas — dispositivos móveis, impressoras, termostatos — que agora se conectam à internet. Muitos dispositivos mantêm senhas padrão que podem ser encontradas on-line. Em outros casos, empresas têm tecnologias de defesa mal configuradas e não supervisionam o tráfego desses aparelhos.
A solução é algo bastante básico: garantir que apenas as máquinas necessárias estejam on-line e que elas estejam protegidas sempre, diz Mike Denning, diretor de segurança global da Verizon Enterprise Solutions.
Criptografe seus dados
Desde que hackers roubaram 130 milhões de números de cartões de pagamento da Heartland Payment Systems Inc. HPY +0.30% em 2008, seu diretor-presidente, Robert Carr, passou a exigir criptografia. A ideia é que, se os dados do cartão forem criptografados no instante em que entram no computador do varejista, não há muito que os hackers possam fazer.
Só na Califórnia, as empresas relataram 298 violações de dados entre 2012 e 2013. Em 83 casos, ou mais de 25%, os dados roubados não estavam criptografados, afetando 2,6 milhões de residentes, segundo relatório do procurador-geral do Estado.
As empresas tendem a evitar a criptografia porque ela pode desacelerar processos, mesmo que ligeiramente, ao usar poder de computação para embaralhar e desembaralhar dados. Ela também pode causar problemas de compatibilidade quando os dados viajam de uma empresa a outra. O processo não é barato, mas certamente não é proibitivo. A Home Depot investiu cerca de US$ 7 milhões no ano passado para inserir criptografia em todas as suas 2.200 lojas nos EUA e Canadá, segundo pessoas a par do assunto. A rede trabalha com a Voltage Security Inc. para criptografar dados de cartões de clientes, tornando-os inúteis para hackers antes que eles entrem no terminal do ponto de venda.
Livre-se das senhas
De acordo com a Verizon, 25% das violações de dados analisadas no relatório poderiam ter sido interrompidas se a empresa atacada exigisse mais do que uma senha para entrar em sua rede.
Nos últimos dois anos, os hackers parecem ter se concentrado em grupos de senhas. Isso porque eles descobriram que os usuários muitas vezes usam a mesma senha e endereço de e-mail para várias contas, das redes sociais aos bancos, dizem especialistas.
Nos últimos anos, o Facebook Inc. e o Google Inc. lançaram iniciativas para matar as senhas. A arma: um pequeno e discreto token USB. Em vez de forçar o usuário a se lembrar de senhas, o token feito pela Yubico atua para verificar a identidade de alguém, às vezes em conjunto com senhas para uma camada adicional de segurança. A experiência tem sido positiva, dizem funcionários de ambas as empresas.
Cheque seus fornecedores
Hoje, grandes empresas com muitos dados sensíveis passaram a dar mais atenção à ameaça de hackers. Os conselhos de administração de empresas de consumo como a Kellogg e a Tyson Foods Inc. agora mencionam com frequência a segurança digital, um tema que antes era relegado ao departamento de informática.
Mas fornecedores de menor porte que muitas vezes têm o mesmo acesso aos computadores podem não tratar os riscos à segurança com a mesma severidade. Boa parte das violações de dados têm sido associadas a hackers entrando no computador de um fornecedor ou firma terceirizada, de acordo com várias pesquisas.
A solução é a supervisão cuidadosa. Algumas grandes empresas têm exigido que fornecedores incluam em contrato sua abordagem para a segurança digital. Mas, a menos que as empresas queiram investir em auditar cada fornecedor, é difícil verificar o cumprimento, dizem executivos.
Duas novatas, a BitSight Technologies e SecurityScorecard Inc., trabalham na criação de avaliações, como a pontuação de crédito de empresas, estudando a quantidade de tráfego nocivo ligado a endereços de internet das firmas. Isso inclui comunicação de servidores associados a crimes cibernéticos.
“Se vemos esse tipo de coisa, elas não estão mantendo a casa limpa”, diz Stephen Boyer, um dos fundadores da BitSight e pesquisador do MIT, Instituto de Tecnologia de Massachusetts.
Fonte: The Wall Street Journal
Foto: Charis Tsevis for The Wall Street Journal
leia também
Que Hacker resiste a tantas facilidades?
Sua empresa se preocupa com a Gestão de Riscos Corporativos?