Segurança da informação: como evitar que os sites sejam alvos de hackers

Administrador orienta como as empresas podem reduzir o risco de invasão em seus sistemas

Os e-commerces de grandes marcas vêm sendo alvos frequentes de ataques cibernéticos. Na ação mais recente, os hackers invadiram os sites Americanas.com, Submarino e Shoptime que ficaram fora do ar durante quatro dias consecutivos. Em um comunicado oficial, o grupo Americanas S.A., dono das três marcas, informou que não há evidência de comprometimento das bases de dados e reforçou, ainda, que a segurança das informações é sua prioridade.

No último ano, outras empresas como IFood, Renner, CVC, JBS e até o Sistema Único de Saúde (SUS) também tiveram seus sistemas invadidos e, em alguns desses casos, houve vazamento de informações sigilosas, bem como prejuízos financeiros com os ataques de ransomware (sequestro digital), nos quais os criminosos pedem um valor como resgate pelos dados da empresa que foram criptografados.

Segundo Adriano Penedo de Athayde Vallim, administrador e membro do Grupo de Excelência de Estudos em Tecnologia Digital – GEETD, do Conselho Regional de Administração de São Paulo – CRA-SP, esses ataques podem prejudicar a imagem da marca, porque além de retirar o site do ar, o invasor pode fazer o defacement na página inicial (que consiste na modificação do conteúdo e estética exibido em um site), com a publicação de informações alheias.

“Podem ocorrer também danos financeiros diretos como a venda e envio de produtos por preços menores ou através de pagamentos com cartões roubados ou gerados. Nestes casos, após o objetivo do ataque ter sido alcançado, as informações da vulnerabilidade do ambiente ou do controle de pagamentos são divulgadas em grupos e comunidades do crime digital e, consequentemente, serão realizados dezenas ou até centenas de ataques, inviabilizando os custos com perícias e processos para apuração de autoria”, comenta Vallim.

Outro impacto relevante é o roubo e comercialização de informações dos usuários na Dark Web. “Muitas vezes, os usuários utilizam a mesma senha para tudo. Então os dados e acessos de um site podem servir para outros ataques e invasões nas contas desses titulares”, explica o administrador.

Vulnerabilidade digital

A vulnerabilidade do país em relação à cibersegurança foi apontada em pesquisas, como a realizada pela consultoria alemã Roland Berger, que identificou o Brasil como o 5º país que mais sofreu crimes cibernéticos em 2021. Já a empresa holandesa Surfshark afirmou que, no que diz respeito a vazamento de dados, o País foi o 6º mais atingido por esse tipo de ocorrência.

Vallim comenta que os entre os motivos que tornam o Brasil alvo do crime digital estão o elevado número de instalações de softwares piratas, que podem estar vulneráveis por falta de atualização ou por terem algum malware embarcado; a falta de maturidade das empresas em segurança da informação, afinal, são poucas as que consideram a cibersegurança como prevenção; e a vulnerabilidade gerada pelo perfil do brasileiro, que os criminosos são habilidosos em explorar.

“Ataques que parecem inocentes, como o phishing (e-mail enviado como isca para o usuário clicar em algum link), podem ser a porta de entrada para um grande golpe. O brasileiro tem o hábito natural de considerar que todas as mensagens são bem intencionadas e, aproveitando dessa característica, os indivíduos se aproximam, fazem perguntas ou comentários inocentes, mas que coletam informações extremamente relevantes”, alerta o integrante do GEETD.

Para mudar esse cenário, a conscientização sobre a segurança da organização precisa ser top-down, ou seja, partir da alta hierarquia, como o CEO ou presidente da empresa. “Quando a segurança da informação vem como premissa para assegurar a continuidade do negócio, todos os envolvidos que poderiam ser explorados pelos criminosos passam a tomar decisões conscientes”, afirma o administrador.

Como as empresas podem se proteger?

Na opinião de Vallim é importante entender que nada é 100% seguro ou invulnerável e que quanto mais complexo for o ambiente ou a gestão, maior será a probabilidade de ter vulnerabilidades. 

A partir disso, uma forma de reduzir o risco é manter o ambiente sempre atualizado, pois isso geralmente elimina as fragilidades pré-existentes. “Não utilize softwares piratas, cracks (removedores de licença de software) e keygens (geradores de senha), pois eles comprometem o sistema e geram vulnerabilidades intencionais. Mantenha a documentação de versionamento dos softwares e dos dispositivos presentes no ambiente para auxiliar no monitoramento, pois ao lê-lo será possível verificar se aquela versão ainda é a melhor ou se existe algum patch (atualização) a ser aplicado”, sugere.

É recomendável, também, a terceirização de testes de segurança. “A contratação de Análises de Vulnerabilidade e de Pentests, pode ser a peça chave para manter o ambiente mais seguro. No entanto, não adianta contratar uma empresa de baixo custo, pois ela poderá apresentar resultados automatizados com grande volume de ‘falsos positivos’. O investimento em segurança da informação e inteligência cibernética deve ser feito com planejamento, porque ganhar com barganhas ou com a contratação de empresas não especializadas pode resultar em um impacto superior à economia realizada”, elucida o administrador.

No caso de algum incidente, é importante fazer a preservação das provas para uma futura perícia. Muitas vezes, no desespero em restabelecer o serviço, as evidências que poderiam apurar a autoria do ataque são destruídas.  

“Os ataques geralmente ocorrem em determinados segmentos do mercado, no qual o modus operandi é o mesmo, mudando apenas o alvo. Então, caso a empresa não possa contratar serviços de Inteligência Cibernética, é interessante ter networking com outras organizações que atuam no mesmo segmento, para que possam se manter atualizadas sobre os ataques detectados, uma vez que alguns podem passar despercebidos”, conclui Vallim.

Sobre Adriano Penedo de Athayde Vallim: Administrador de Empresas, com ênfase em Comércio Exterior, pela Faculdade Piratininga FAPI; Perito Judicial em Forense Computacional; Perito na 4º Delegacia de Delitos Cometidos por Meios Eletrônicos, em São Paulo; e Mediador e Conciliador Judicial, pelo Conselho Nacional de Justiça – CNJ. Pós-graduado em Segurança da Informação, pelo ITA; MBA Information Technology Applies to the Management of Strategic Business, pela FGV; Segurança da Informação, pela Thunderbird School of Global Management, USA. Membro do Grupo de Excelência de Estudos em Tecnologia Digital – GEETD, do CRA-SP. Professor em cursos de pós-graduação e MBAs na Universidade Mackenzie e na Universidade Paulista.

Sobre o Grupo de Excelência de Estudos em Tecnologia Digital – GEETD, do CRA-SP – Fundado em 2017, o Grupo tem como objetivo estudar as inovações e transformações tecnológicas que permitam atender às crescentes demandas de mobilidade, conectividade e segurança de dados na gestão pública e privada. 

Sobre o CRA-SP: O Conselho Regional de Administração de São Paulo – CRA-SP é uma autarquia federal, criada em 1968 (três anos após a regulamentação da profissão de Administrador) que, atualmente, reúne cerca de 65 mil registrados, entre pessoas físicas e jurídicas. Embora suas principais funções sejam o registro e a fiscalização do exercício profissional nas áreas da Administração, o CRA-SP tornou-se referência na qualificação de profissionais, ao disponibilizar, de forma gratuita, palestras e eventos em um ambiente onde o conhecimento é tratado como uma poderosa ferramenta, capaz de promover profundas mudanças sociais. Atualmente, o CRA-SP é presidido pelo Adm. Alberto Whitaker.