Artigo

O que aprender com famosos casos de falhas na segurança da informação empresarial?

Intrusões, roubos e alterações de dados causam, anualmente, perdas milionárias às organizações, além de mácula na reputação das companhias, “fuga” de milhares de clientes e entrega de sigilosas e imprescindíveis estratégias de negócios nas mãos da concorrência. A depender da importância dos dados violados, a ação pode resultar na destruição completa e irreversível da companhia. Inúmeros casos já ocorreram, e com eles algo certamente pode ser aprendido para que não se cometa o mesmo erro das empresas vítimas desses infortúnios. Assim, listamos aqui alguns casos famosos de falha na segurança da informação empresarial e o que eles nos ensinaram no quesito “segurança”. Acompanhe:

A fragilidade dos sistemas de segurança da informação nas empresas

A despeito da seriedade da questão, os sistemas de detecção, monitoramento e controle de acesso aos dados mais importantes das organizações ainda são muito precários e a responsabilidade, em caso de falhas, recairá, necessariamente, sobre os ombros de analistas e gerentes de TI, além dos CEO’s responsáveis pela elaboração das estratégias de segurança da informação da empresa.

Por outro lado, a constante pressão por redução de custos transforma a missão de construção de um plano sólido de segurança corporativa em um desafio hercúleo e que requer extrema criatividade. Neste artigo, portanto, iremos aprender um pouco mais com alguns casos épicos de roubo de dados e que deixaram lições às empresas de todos os segmentos.

Alguns casos famosos de roubo de dados

Nem a Nasdaq escapou: Até o sistema da bolsa de valores mais moderna do mundo, a Nasdaq, foi vítima da ação de intrusão ilícita, o que evidencia a necessidade de não superestimar seus sistemas de segurança da informação, ou pior, subestimar a capacidade de que hajam criminosos capazes de invadi-lo. A ação foi realizada em 2013 e estima-se que 160 milhões de registros foram alterados/roubados. A ação se deu simultaneamente contra outras empresas, como Carrefour e J.C Penney Co., resultando em prejuízos de mais de US$ 300 milhões.

A captura de senhas de 1,2 bilhão de internautas em 2014: Um documento divulgado no ano passado pelo New York Times revela o que pode ter sido o maior roubo de dados da história. Revelado em agosto de 2014, a ação de hackers russos podem ter roubado logins e senhas de cerca de 1,2 bilhão de internautas. Tudo extraído das falhas de segurança de 420 mil sites, incluindo instituições bancárias, sites de operadoras de cartão de crédito, sítios de e-commerce, entre outras.

Adobe e seus 152 milhões de registros de clientes violados: Em 2013, a Adobe também foi vítima de invasão de dados. Nesse caso, estima-se que a ação tenha conseguido acesso a cerca de 152 milhões de registros de clientes, incluindo informações de pagamento e dados bancários. O resultado representou uma mancha em sua reputação, a qual a empresa vem tentando apagar desde então.

Heartland Payment Systems Inc.: Em 2009, uma contaminação por malware nas centrais de dados da operadora de cartões de crédito norte-americana Heartland Payment Systems Inc. deu acesso aos hackers a mais de 100 milhões de dados de cartões de crédito e débito, ocasionando perdas milionárias à empresa, além da “fuga” de milhões de clientes.

Cuidados essenciais na proteção dos dados das empresas

  • Acesso restrito e hierarquizados aos dados: o objetivo é definir exatamente qual o limite de acesso de cada usuário, tanto na quantidade de diretórios disponíveis quanto com relação à profundidade de acesso a cada um desses diretórios.
  • Garantia de manutenção dos dados no longo prazo: imagine um poupador que tenha milhões de dólares acumulados e que, com a falência da instituição bancária correspondente, perca tudo o que levou anos para construir. O mesmo raciocínio vale aqui para a hospedagem em Clouds. Neste caso, é necessário que a empresa de TI ofereça garantias de que seu patrimônio estratégico estará sempre disponível, independente do que ocorra com a hospedeira no futuro.
  • Respeito à jurisdição do país de origem dos dados: a legislação do país de origem dos dados deve ser observada pela empresa de soluções em TI contratada, e esse é um ponto que costuma escapar dos olhos de muitos CEO’s. Segurança jurídica é fundamental em qualquer negócio.

Diante de todos esses casos, a lição que fica é: implantar um sistema de proteção de dados de alta confiabilidade nas empresas não elimina 100% das chances de um ataque, mas é essencial para reduzir as possibilidades de perdas irreversíveis. Dessa maneira, o ideal é que gestores e responsáveis pela área de informática nas organizações desenvolvam infraestruturas de TI em parcerias com empresas especialistas em soluções de segurança da informação, as quais, dedicadas exclusivamente a diagnósticos e soluções sob medida às organizações, podem oferecer resultados interessantes à organização e aos próprios profissionais de TI das empresas.

Conheça nossos parceiros