Neste mês, entrevistamos Wanderson Castilho, nosso especialista em crimes cibernéticos, graduado em Física pela Universidade Federal do Paraná (UFPR) em 1995 e fundador da eNetsec. Trabalha em segurança cibernética e fraudes desde 1999, e é autor do livro “Manual do Detetive Virtual”. Atualmente baseado em Parkland – Flórida, é referência em casos ilícitos digitais no Brasil, com índice histórico de 97% de casos resolvidos. Entre eles estão inclusos casos de difamação anônima, vazamento de informações, roubo de senhas, entre outros.
Wanderson conversou conosco sobre os novos desafios para o setor de segurança digital no contexto da pandemia do Coronavírus, e a adoção da prática de homeoffice.
Confira abaixo os principais trechos da nossa entrevista*:
A Pandemia e o homeoffice trouxeram novos desafios para o campo da Cibersegurança?
Sem dúvida. Antes da pandemia os funcionários estavam dentro de uma estrutura de segurança, estrutura essa que não foi estendida ao ambiente doméstico. Então, com o homeoffice, você tem questões como: colaboradores utilizando equipamentos pessoais para acessar arquivos da empresa, senhas de wi-fi que não são seguras, sistemas desatualizados, entre outras. Se aproveitando deste cenário de vulnerabilidades, os criminosos entram em ação.
Para se ter uma idéia, desde o início da pandemia, houve um aumento de mais de 400% na quantidade de ciberataques mundialmente.
Com uma pandemia a sociedade fica vulnerável, com medo, e isso deixa o usuário mais fragilizado para o crime eletrônico. Quanto mais o usuário estiver atento a outras coisas, melhor para esse criminoso.
Quais cuidados as empresas devem tomar durante o período de homeoffice para minimizar riscos e ameaças virtuais?
O colaborador foi obrigado a deixar essa estrutura de segurança centralizada da empresa, onde era possível monitorar a conduta e proporcionar uma maior proteção, e ele não foi treinado para isso. Ele foi treinado para atuar dentro daquele ambiente seguro, com todas as ferramentas de segurança que precisaram de tempo e grandes investimentos para serem implementadas.
No ambiente doméstico desse colaborador não existe esta estrutura, ele está, na maioria vezes, utilizando o computador e equipamentos pessoais para trabalhar. Por isso a necessidade de que as empresas entreguem seus equipamentos aos colaboradores. Hoje as empresas conseguem monitorar (se os computadores forem da empresa) tudo que acontece, independente de onde o computador está, ele vai estar interligado e monitorado.
É importante ter Políticas bem definidas. Definir o que o colaborador pode e o que ele não pode. E não apenas uma vez, mas constantemente, esse colaborador precisa ser informado, por exemplo: que ele não pode passar arquivos da empresa para a sua conta pessoal, não pode imprimir arquivos da empresa e ficar com estes documentos, não pode usar o computador da empresa para as suas funções pessoais, etc.
Recentemente foi aprovada a LGPD, e isso prevê para as empresas grandes punições caso elas invadam a privacidade do colaborador. Então, ter essas Políticas bem definidas e o controle sobre ela é de suma importância para a existência da empresa hoje.
Na sua visão, as empresas brasileiras, em geral, estão em conformidade com as melhores práticas de segurança e preparadas para lidar com ameaças? Ou estamos defasados em relação ao resto do mundo?
Aqui nos Estados Unidos as empresas visam muito a prevenção. De tempos em tempos as empresas americanas contratam hackers, que tentam invadir e de alguma forma acessar informações protegidas da organização. E isso faz com que eles acabem prevendo falhas que só um bandido iria identificar. Desta forma é possível fazer a segurança preventiva.
Do ponto de vista da tecnologia, o que é lançado aqui (EUA) uma empresa brasileira tem acesso no mesmo dia do lançamento. Existem diversas convenções, feiras mundiais, e muitas empresas brasileiras frequentam essas feiras tecnológicas. Mas, na média, as empresas brasileiras estão muito mais vulneráveis, porque muitas vezes dão prioridade a outras questões na forma como utilizam o seu budget.
Temos no Brasil fatores como, carga tributária muita alta, questões relacionadas a custos trabalhistas, e as empresas acabam não investindo o suficiente no treinamento dos seus colaboradores. Nos Estados Unidos o investimento no treinamento dos colaboradores é muito maior, o que faz com que esses profissionais fiquem mais capacitados, enquanto no Brasil a consciência é um pouco diferente quanto a isso. Essas atualizações de leis, como a LGPD, farão com que a maioria das empresas fiquem mais profissionais com relação a esse ponto da segurança digital.
Quais os obstáculos mais comuns para estabelecer uma política de segurança?
O obstáculo é realmente dar início a esse processo, porque existe a questão do custo e do tempo. Uma política de segurança não é implementada de um dia para o outro, ela é implementada ao decorrer de vários meses. É uma mudança de consciência e de comportamento.
A estrutura toda precisa ir se adaptando, o que é um processo relativamente lento, mas que precisa ser duradouro, sempre alertando, reforçando essa política de segurança para o colaborador. Porque se acontecer alguma coisa, a empresa estará respaldada.
Outro fator que a empresa precisa ter em mente é que, não somente ter implementado ferramentas e uma equipe de segurança, mas também é importante ter uma equipe que saiba como atuar quando um incidente de segurança ocorrer. Essa equipe pode ser de uma empresa terceirizada não precisa ser própria, e vai saber exatamente como proceder de acordo com a lei.
Nós já pegamos casos em que as empresas tinham a informação comprovando como um colaborador fraudou a empresa, mas a forma como a empresa conseguiu a informação era ilegal, e o próprio funcionário, que tinha agido de má fé de forma criminosa, acabou processando a empresa que não sabia a forma como armazenar e resgatar essas informações do ato ilegal.
*Essa entrevista foi editada para selecionar os principais trechos e opiniões.
Ilustração: Designed by macrovector / Freepik