Olá, estudante! Como você deve perceber, a tecnologia está em todos os lugares, e o tempo inteiro somos bombardeados com inúmeras informações de vários segmentos, dentre eles, notícias sobre crimes cibernéticos. Nos últimos anos, muitas empresas já tiveram seus dados roubados ou sofreram com a falha na segurança de seus dados. 

Sabemos que nenhuma empresa está 100% segura, e os invasores sempre encontram um jeito de achar as vulnerabilidades na segurança dos dados, principalmente com os próprios usuários. Hoje, a segurança de dados tornou-se uma necessidade extremamente importante para as empresas, independentemente se são pequenas ou grandes corporações. Se forem invadidas, podem ter prejuízos enormes ou pararem suas operações por não conseguirem acessar os dados e sistemas da empresa. 

Dessa forma, o objetivo desta lição é introduzir o estudo sobre os Processos e Técnicas de Segurança de Dados e as ameaças aos dados. 

Nesse momento, te convido a imaginar o seguinte cenário: você e seu responsável estão andando normalmente pela rua, quando alguém para vocês e pede que entreguem todos os seus documentos pessoais, como o número de CPF e RG, informações da CNH, comprovante de residência, título de eleitor e, ainda, pede a confirmação de algumas informações pessoais, como telefones de contato, e-mail e endereço. Situação estranha e, ao mesmo tempo, desesperadora, não é mesmo? Vocês passaria essas informações para um desconhecido?

Agora, pare e pense: diariamente, seus dados e informações pessoais andam pelos sites, portais de informação ou em cadastro de lojas online ou em games, e os de seus familiares também. Compartilhamos constantemente nossas informações pessoais quando navegamos na internet, sem saber como elas serão utilizadas. 

Tivemos a pandemia e, com ela, diversas empresas precisaram migrar para espaços virtuais, e muitos funcionários passaram a trabalhar em home office. Devido a isso, as informações pessoais e sigilosas cedidas às empresas foram compartilhadas através das redes. 

Com base nisso, como trazer mais segurança para os banco de dados que armazenam essas informações?

De acordo com pesquisas chamadas Global Digital Trust Insights Survey (PwC BRASIL, 2022), cerca de  83% das empresas brasileiras aumentarão o investimento em segurança cibernética. Essa pesquisa mostrou que as nossas empresas estimam crescimento nos gastos com segurança cibernética e que a expectativa mundial é a seguinte: apenas 69% das organizações esperam esse crescimento. 

Por que esse resultado é maior para as empresas brasileiras? Porque esse aumento de investimento em segurança de dados é resultado da Lei Geral de Proteção de Dados – LGPD (BRASIL, 2018, on-line). Ela é um texto regulatório brasileiro que define parâmetros mínimos para a garantia da segurança dos dados de cidadãos, por meio de ações básicas de estrutura e processos de armazenamento. Isso quer dizer que uma empresa somente poderá armazenar dados de terceiros se eles souberem que estão sendo coletados e, ainda, consentirem a coleta. 

De acordo com a LGPD (BRASIL, 2018, on-line), a definição de dados pessoais é qualquer dado de uma pessoa identificada ou identificável. Dessa forma, não é somente o número de CPF ou RG ou o nome completo dela e de seus familiares quando falamos sobre a proteção da privacidade, mas envolve outras informações, como: gênero, religião, hábitos de compras e uso de serviços, ambientes que frequenta, redes sociais e seus seguidores e muitas outras informações que facilitam a identificação daquele usuário.  

Mas quem fiscaliza? O órgão de Autoridade Nacional de Proteção de Dados (ANPD) é  responsável por garantir o cumprimento da Lei LGPD e, também, por analisar os vazamentos detectados e julgar a gravidade de cada caso. As empresas e usuários devem informar as falhas às autoridades e não deixar espaço para tentar consertar o vazamento antes de ele vir a público.

De acordo com Barreto et al. (2018), a segurança de dados é o conjunto o qual envolve processos e técnicas que ajudam a garantir a integridade dos dados dentro de uma empresa. Dentre as técnicas, temos: formas de coletar dados que deve ser bem estruturadas, assim como o armazenamento e o monitoramento adequado de uso, para evitar, ao máximo, invasões, ataques, roubos e comprometimento das informações. Há também as técnicas de defesa que envolvem mecanismos de proteção cujo objetivo é deixar as informações a salvo, longe de invasores.

Para atender à realidade atual do mercado e manter a integridade das informações, as empresas precisam investir na segurança de dados. De acordo com Barreto et al. (2018), existem diversos motivos para que as empresas se preocupem com a segurança de suas informações e os principais são: 

Você sabe o que é um ativo de uma empresa?  A palavra “ativo” é usada para denominar tudo aquilo que possui valor a uma empresa e, por isso, deve ser protegido, ou seja, são os elementos fundamentais da segurança da informação e a razão da existência dessa preocupação pelas empresas (BARRETO et al., 2018). Os ativos são divididos em categorias:

Além de conhecer os ativos, precisamos entender as vulnerabilidade e ameaças a ativos da empresa. Imagine o seguinte cenário: você costuma deixar a porta ou o portão da sua casa aberto? Se você deixar, sua casa está vulnerável a furtos e roubos. Mas estar aberta não significa que sua casa será roubada, e sim que facilitará o roubo ou furto. 

O termo “vulnerabilidade” diz respeito à condição que torna um ativo da empresa um alvo de ameaças e invasões. Se a empresa não tomar cuidado com o hardware ou software, os sistemas podem se tornar mais vulneráveis a ataques. E as ameaças? São agentes ou condições que, ao explorarem as vulnerabilidades, podem provocar danos e perdas à empresa.

Os autores Barreto et al., (2018) afirmam que as ameaças se dividem em:

 Para a empresa, é importante conhecer as principais vulnerabilidades na segurança de dados, a fim de que seja possível evitar os transtornos causados por uma ameaça e, também, definir as estratégias utilizadas às proteção e segurança dos dados, estratégias essas que são usadas para prever e tentar descobrir falhas e brechas na segurança. Para as empresas se defenderem, elas devem fazer um levantamento dos dados que circulam pela rede e dos sistemas de informação e, assim, detectar os pontos críticos e possíveis tipos de ataques. 

Para Barreto et al. (2018, p. 128), a segurança dos dados pode ser afetada por diversos fatores e elementos, desde “o comportamento indevido do usuário, passando pela infraestrutura responsável pela guarda dos equipamentos e informações, até ações de pessoas que têm como objetivo modificar, destruir ou roubar as informações”.  Os autores também afirmam ser responsabilidade do profissional da segurança de dados: 

Existem muitas formas de defesa, assim como existem também diversos tipos de ataque à segurança de dados, mas há uma ameaça que é considerada, atualmente, a mais importante: a Engenharia Social. 

Você conhece alguém que já teve a confiança explorada ou que foi conduzida ao erro? Ou, talvez, você mesmo(a) tenha passado por isso? A Engenharia Social são as práticas utilizadas para obter acesso a informações importantes ou sigilosas em empresas ou sistemas, por meio da enganação ou exploração da confiança das pessoas (BARRETO et al., 2018).

O atacante ou golpista finge ser outra pessoa, assume outra personalidade, por exemplo, um profissional de determinada área de alguma empresa. Ele procura explorar as falhas de segurança dos próprios usuários que, por sua vez, podem ser facilmente manipulados. Para a Engenharia Social, apesar de existirem falhas em sistemas informatizados, o ser humano é o elemento mais sujeito a elas. 

O ataque utiliza diferentes meios de comunicação, por exemplo:

As empresas devem se preocupar, além da área de segurança dos seus dados, com seus usuários, pois eles são responsáveis por grande parte dos ataques. Por isso, é importante que as empresas e os usuários se conscientizem e se certifiquem do que pode ser feito para evitar invasões e fraudes. 

Os principais meios de defesa são:

Além dos meios de defesa apresentados, temos, também, outros mecanismos de defesa possíveis de serem usados, como:

Mas será que estaremos 100% protegidos? É importante ter a noção de que nenhum tipo de barreira ou proteção tornará a segurança dos dados 100% garantida. Sempre terá brechas e pessoas que as encontrem! 

Para finalizar nossa lição e para você fixar bem o conteúdo, vamos a um exemplo de um dos motivos para que as empresas se preocupem com a segurança de suas informações? 

Imagine o seguinte cenário: uma empresa que fabrica ketchups e maioneses cujo faturamento anual é bem acima dos concorrentes, devido ao sabor diferenciado de seus produtos. Já pensou se a receita dos seus produtos de sucesso fossem descobertos pelos seus concorrentes que, por sua vez, começassem a fabricar a mesma produção com os mesmos sabores? Isso é roubo de dados e informações do maior capital da empresa, que é o conhecimento retido por ela quanto ao “fazer negócio” e, dessa forma, ela perde seu principal diferencial competitivo! 

Agora, imagine quantas empresas existem no mundo todo e quantos dados e informações precisam ser protegidos!