Baixe o app para aproveitar ainda mais
Prévia do material em texto
Como citar este material: MARTINS, Álvaro Luiz Massad. Cibersegurança: Anatomia Clássica de um Ciberataque. Rio de Janeiro: FGV, 2022. Todos os direitos reservados. Textos, vídeos, sons, imagens, gráficos e demais componentes deste material são protegidos por direitos autorais e outros direitos de propriedade intelectual, de forma que é proibida a reprodução no todo ou em parte, sem a devida autorização SUMÁRIO CIBERSEGURANÇA: ANATOMIA CLÁSSICA DE UM CIBERATAQUE .................................................... 5 INTRODUÇÃO ..................................................................................................................................... 5 Histórico de TI nas organizações ............................................................................................. 7 Era do computador .................................................................................................................... 9 Era da informação ..................................................................................................................... 9 TRANSFORMAÇÃO DIGITAL E CIBERSEGURANÇA ........................................................................ 10 Maturidade e papel de TI ........................................................................................................ 11 Maturidade e papel de TI nas pequenas e nas médias empresas .................................... 16 SEGURANÇA DA INFORMAÇÃO: UM TEMA CORPORATIVO ........................................................ 18 Empresas no contexto da cibersegurança ........................................................................... 19 Desafios de segurança corporativa ....................................................................................... 20 ANATOMIA CLÁSSICA DE UM ATAQUE E OPÇÕES DE PROTEÇÃO ............................................. 21 TIPOS DE ATAQUES CONHECIDOS ................................................................................................ 24 Engenharia social ..................................................................................................................... 24 Ransomware .............................................................................................................................. 24 Ataques DDoS ........................................................................................................................... 25 Software de terceiros ............................................................................................................... 25 Vulnerabilidades de computação em nuvem ...................................................................... 25 Virus e outros ataques que visam prejudicar ou inibir o funcionamento de processos ou sistemas .................................................................................................................................... 26 Furto de identidade (identity thief) ......................................................................................... 26 Golpe do boleto falso .............................................................................................................. 27 BIBLIOGRAFIA ...................................................................................................................................... 29 PROFESSOR-AUTOR ............................................................................................................................. 31 ÁLVARO LUIZ MASSAD MARTINS ................................................................................................... 31 Formação acadêmica: ............................................................................................................. 31 Experiência profissional: ......................................................................................................... 31 Neste curso, faremos uma reflexão a respeito do valor da inteligência sobre as ameaças cibernéticas, entendendo a importância de se pensar em segurança da informação como um tema corporativo, que envolve todas as áreas da organização. Conheceremos a anatomia clássica de um ataque, para assim facilitar a identificação de uma ameaça, entendendo as opções de proteção reativas e proativas contra ameaças cibernéticas. Introdução O objetivo final de uma empresa é alcançar lucro perene, e, para tanto, busca fazer o melhor uso possível dos seus recursos, alocando-os de acordo com as estratégias de negócio traçadas, para desse modo buscar competitividade. Muitas são as teorias acadêmicas que nos mostram tal fato, bem como a observação do cenário corporativo também pode comprovar. Ao longo do tempo, vemos a atenção se deslocar de um tipo de recurso para outro. Dessa forma, os primeiros pensadores da moderna ciência da administração surgida após a chamada Revolução Industrial focam as suas teorias na organização da produção, como fizeram Frederic Taylor (1903) e Henri Fayol (1916), as quais foram seguidas e implementadas por empresários como Henry Ford, fundador da Ford. Logo em seguida, vemos também as teorias focarem os recursos humanos, tanto nos trabalhos da psicóloga Lilian Gilbreth, precursora da psicologia aplicada ao trabalho, que defendeu a ideia de que o aumento da produtividade depende fundamentalmente da atitude dos empregados, das oportunidades a eles oferecidas e do ambiente físico no local de trabalho, quanto nas contribuições seguintes de psicólogos e sociólogos como Elton Mayo e Mary Parker Follet, culminando com o surgimento da Teoria das Relações Humanas em 1940. CIBERSEGURANÇA: ANATOMIA CLÁSSICA DE UM CIBERATAQUE 6 Mais adiante, na década de 1950, logo após a II Guerra Mundial, surgiu o conceito moderno de marketing, e as teorias se deslocaram também para o estudo dos mercados, com as primeiras teorias de Levitt, Drucker e Kotler. Mais recentemente, e cada vez mais, vemos a tecnologia desempenhar um papel relevante nas empresas, tornando-se assim um recurso dos mais importantes na busca pelo objetivo final de qualquer empresa. Conforme podemos ver em diversos trabalhos acadêmicos já realizados, a tecnologia sempre foi uma variável central na teoria organizacional, e o seu uso pelas empresas se intensifica, como apontam os gastos cada vez maiores. No Brasil, o total anual de gastos e investimentos em TI nas empresas, quando medido como um percentual da receita, cresceu a uma taxa média de 8,0% ao ano, conforme apontado por pesquisa que vem sendo realizada há mais de 30 anos pelo Centro de Tecnologia de Informação Aplicada (FGVcia) da Escola de Administração de Empresas de São Paulo da Fundação Getulio Vargas (FGV Eaesp). Uma questão também central quanto ao uso de TI pelas empresas é verificar se tal prática leva à melhoria do desempenho, fato ainda com resultados controversos, uma vez que alguns estudos apontam resultados positivos, enquanto outros dizem que não há relação, ou até mesmo que os resultados são negativos, havendo espaço para maior entendimento. Tanto as organizações como a tecnologia têm passado por dramáticas mudanças no formato e na função, consequentemente também é imperativa a mudança nas formas de gestão e de avaliação. O ritmo vertiginoso de mudança no mundo da tecnologia e as mudanças que a TI pode trazer para os negócios elevam os assuntos relativos à TI a um alto grau de importância, tanto que nesta nova realidade, as organizações se tornam virtuais em um ambiente totalmente interconectado, o que tem exigido mudanças significativas nas diretrizes organizacionais, inclusive na sua estrutura e nas regras de autoridade e responsabilidade. As mudanças são tão profundas no uso de TI pelas empresas e pelas pessoas, levando o conceito de computação ubíqua a ser uma realidade presente nos nossos dias, que até mesmo o estudo da área deveria levar isso em conta, expandindo o escopo das pesquisas, portanto, neste atual estágio deinformatização, em que vemos muitas empresas convivendo em um ambiente de total digitalização, os desafios para a gestão em alto desempenho são enormes. Uma complexidade ainda maior é encontrada ao analisar as pequenas e as médias empresas, que, apesar de desempenharem um importante papel no desenvolvimento econômico e social no mundo todo, não podem ser vistas com as mesmas lentes usadas relativamente às grandes empresas. Com base nessas mudanças e em alguns fatores, como o crescente ambiente de negócios digitais, nota-se o papel de políticos e governos criando leis que obrigam as pequenas empresas a se informatizarem, e os fornecedores de tecnologia cada vez mais enxergando as pequenas e as médias empresas como potenciais clientes. 7 Por todo o exposto e em função do uso crescente de TI pelas empresas, é imperativo que o tema cibersegurança ganhe também maior relevância. Uma primeira abordagem que se faz necessária é entender o nível de maturidade em gestão de TI em cada empresa em particular, o que vai impactar sobremaneira a gestão de ciberameaças também. Histórico de TI nas organizações Com o intuito de entender o histórico de TI nas organizações, e desse modo contextualizar e entender melhor onde estávamos e para onde estamos indo, podemos observar a evolução da informática dividindo-a em dois momentos distintos: a Era do Computador e a Era da Informação. No ambiente das empresas, quando pensamos em TI estamos pensando fundamentalmente em informação, especialmente para tomar boas decisões. O papel central das informações nos negócios não é uma característica nova, ao contrário, desde sempre na história da administração de empresas a informação vem tendo um lugar de protagonismo. O que podemos considerar novidade é o aumento crescente do volume de informações, bem como o valor dessas informações para a tomada de decisão. Esse gigante volume de informações que temos disponíveis atualmente leva-nos até a cunhar um novo termo, o chamado big data, para fazer referência a esse contexto de explosão de informações. A informação é o insumo básico para a inteligência na tomada de decisão, pois enquanto no passado era comum se tomar decisão baseado somente em feeling, quando a experiência contava muito; hoje se busca intensamente a inteligência, derivada de informação, para tomar decisões consistentes, baseadas em dados e fatos. O valor das informações também é muito diferente do que foi no passado, como exemplo, pensemos em uma reunião de diretoria com gerentes há 30 anos: se algum gerente tivesse alguma nova informação relevante, e a apresentasse na reunião, esse fato seria visto como positivo, a pessoa ficaria valorizada, pois mostraria que era bem informada. Nesse sentido, o fato de ter a informação significava poder. Hoje, a mesma situação, isto é, apresentar uma informação relevante somente na reunião, pode significar até mesmo um problema, pois a informação deveria ter sido compartilhada no momento em que se soube dela. Por outro lado, ao olharmos a competição entre empresas, a complexidade dos negócios hoje é muito maior do que era no passado, o nível de competição está muito mais acirrado na maioria dos mercados, fato que não deriva exclusivamente de TI, mas também de vários outros fatores, por exemplo, a globalização. Essa competição maior exige que as empresas sejam mais competitivas, e para ser mais competitiva a empresa precisa ter informações mais apuradas para tomar boas decisões, de onde concluímos que o aspecto central para o sucesso da gestão é o bom uso das informações, que é justamente o centro da nossa conversa na área de TI. 8 Um esclarecimento inicial se faz necessário sobre o nome da nossa área: enquanto no passado nos referíamos à Informática, no presente chamamos a área de Tecnologia da Informação, e, ainda, se nos restringirmos ao ambiente acadêmico, o nome mais comum é Sistemas de Informação. Quanto ao entendimento do que seja TI, vamos definir como sendo qualquer conjunto de hardware, software e pessoas; e o primeiro grande desafio para uma boa gestão de TI é justamente a integração de todos esses elementos, de tal maneira que não se enxergue TI como fim em si, mas, sim, como meio para ajudar o negócio a atingir os seus objetivos. Olhando ao longo da história, notamos em primeiro lugar uma crescente redução de custos de TI nas empresas, seja hardware, seja software, telecomunicações e até mesmo transformação de modelos de negócios dos ofertantes de TI, pois hoje é muito comum tratar a tecnologia como serviço, e aqui nos referimos à computação em nuvem, ou cloud computing, em que a empresa contrata somente o necessário, pode ter uma escalabilidade rápida para satisfazer novas necessidades e não desperdiça recursos. Um aspecto interessante que vale ressaltar é que, apesar dessa redução de custos para a obtenção de TI, o gasto total das empresas com tecnologia aumenta a cada ano, fato apontado por pesquisa que vem sendo realizada há mais de 30 anos pelo FGVcia. Um segundo aspecto que observamos também com muita clareza é que cada vez mais encontramos todos os funcionários da empresa atuando como usuários de TI, o que não era comum até meados dos anos 1980, pois, quando se olhava para informática, o mais comum era se encontrar a figura do “usuário-chave”, que de alguma forma interagia com a área. Hoje, por sua vez, é muito comum encontrarmos todos os funcionários da empresa como usuários de TI, porque a TI de muitas maneiras permeia todos os processos de negócio das empresas, o que, obviamente, também contribui para a mudança de muitos processos de trabalho, mudando a forma como as pessoas fazem as suas tarefas. Justamente aqui, encontramos um terceiro aspecto fundamental que notamos ao olhar a evolução do uso de TI pelas empresas: o uso cada vez mais intensivo de TI implica a mudança nos processos e nas formas de trabalho na empresa, o que também poderá trazer uma resistência das pessoas às mudanças necessárias. Como bem sabemos, muitas pessoas não gostam de mudanças, e tentarão resistir ao máximo, o que pode significar muitas vezes uma sabotagem às novas tecnologias e processos. Portanto, ao pensarmos o uso de TI pelas empresas, não podemos esquecer a dimensão pessoas, e devemos buscar maior entendimento para fazer com que a adoção de novas tecnologias aconteça da forma mais tranquila possível. Para entendermos um pouco melhor a realidade da empresa no que diz respeito a esses três aspectos – redução de custos de TI, aumento de usuários na empresa, resistência humana às novas tecnologias –, vamos utilizar o modelo com os dois momentos distintos: a Era do Computador e a Era da Informação. Entretanto lembremos que, como qualquer modelo, este também é uma redução da realidade, mas nos permite melhor entendimento à medida que nos traz maior clareza dos contextos. Com isso podemos pensar esse modelo como duas fotos distintas, uma tirada no passado e a outra no presente, e cada uma delas nos mostra um cenário bem diferente do outro. 9 Era do computador A área de informática era administrada pelo gerente do Centro de Processamento de Dados (CPD), que fundamentalmente era um profissional de formação técnica, um gestor de nível hierárquico médio, que tinha como principal missão garantir que o computador estivesse sempre funcionando, para assim garantir ganhos de produtividade em vários processos de negócio da empresa. O computador, que ainda era uma máquina de grande porte, o chamado mainframe, era o recurso focado, era o protagonista. Esses equipamentos eram caros e, por essa razão, o gerente do CPD muitas vezes se reportava ao executivo financeiro da organização, que era quem assinava o cheque. Nesse momento, somente gestores também de nível hierárquico médio se envolviam com o tema na empresa, não era comum que os principais gestores se envolvessem com o assunto, pois, apesar de o computador custar caro, o investimento totalfeito em informática não era muito elevado; na verdade, era bastante conservador. Era da informação Neste momento, o contexto muda bastante, a área de TI passa a ser gerenciada pelo Chief Information Officer (CIO), que deve reportar-se ao Chief Executive Officer (CEO). O CIO é um profissional de nível hierárquico elevado, cuja competência necessária não se limita mais a aspectos técnicos, mas acima de tudo deve entender o negócio e pensar como um estrategista. A sua principal missão é promover o alinhamento entre a TI e o negócio, para desse modo buscar níveis mais elevados de competitividade. O recurso focado não é mais o computador, mas, sim, os dados e a comunicação, muitas vezes nem importando onde elas estão, se dentro da empresa ou na “nuvem”; o envolvimento com o assunto não se limita mais a gestores de nível médio, ao contrário, a alta gestão da organização também está bastante envolvida com o tema e com as decisões sobre TI, especialmente pelo fato de agora as empresas gastarem fortunas com TI. Como podemos perceber, são dois momentos com características bastante distintas, e esse modelo nos ajuda a entender onde cada empresa se situa atualmente, mais próxima da Era do Computador ou mais parecida com a Era da Informação. A partir desse entendimento, podemos traçar melhor um diagnóstico de quais ações devemos empreender para conseguir fazer o melhor uso possível de TI na empresa. Lembremos que uma das principais competências de qualquer gestor é justamente a sua capacidade de diagnosticar, para então tomar as decisões necessárias para atingir os seus objetivos, e os modelos servem para nos ajudar nesse processo. Ao observarmos a realidade das empresas e olharmos para o passado, podemos notar que o “velho modelo econômico” tinha como característica grandes barreiras de entrada, a necessidade de muito capital, a presença de economias de escala, com grandes volumes e pequenas margens. Era um mundo em que só o forte sobrevivia. 10 Olhando para hoje, o mais comum é encontrarmos um “novo modelo econômico”, em que não importa mais somente ser grande, o que tem muito valor é ter criatividade, saber inovar, fazer gestão do conhecimento. Neste momento, as barreiras de entrada são baixas ou até inexistentes, e para sobreviver o aspecto mais importante é a agilidade. Neste novo cenário, que parece ser o mais comum em diversos mercados, quanto mais próxima da Era da Informação a empresa estiver maior agilidade terá para tomar decisões, e quanto mais ágil for para tomar decisões maior a capacidade de sobreviver, maior será a sua capacidade de competir. Por isso é imperativo que as empresas amadureçam na gestão de TI, caminhem no sentido da Era da Informação, para que tenham maior competência para tomar boas decisões, em tempos adequados, pois somente dessa forma conseguirão alcançar níveis de competitividade que as permitam ter agilidade para desempenhos superiores. Neste “novo modelo econômico”, também é bastante comum encontrarmos pequenas empresas fazendo bastante sucesso, pois não há mais a necessidade de ser grande, de ter muito capital, ao contrário, é muito comum encontrarmos grandes empresas que não conseguem fazer essa transformação, justamente por serem grandes e não ágeis. Obviamente, esse amadurecimento na gestão de TI será muito necessário para uma gestão adequada das ciberameaças. Transformação digital e cibersegurança Em função do alto grau de competição na maioria dos mercados, as empresas se defrontam com o desafio de se transformar para continuar tendo competitividade, e a tecnologia pode ser uma aliada fundamental, e a importância de se pensar em segurança da informação cresce. Entretanto não existe mágica, e muitas vezes o caminho não é fácil, exigindo não somente um grande esforço, mas também profundas mudanças. O alinhamento entre a estratégia de TI e as estratégias de negócios é a principal questão a ser tratada para se ter sucesso nessa transformação digital, e esse assunto tem início na visão que se tem sobre o papel que a TI deve desempenhar no negócio. Alguns acreditam que a TI tem um papel estratégico no negócio, sendo até mesmo vista como um recurso para reconfigurar modelos de negócios, e, no limite, redefinir a competitividade, habilitando a chamada inovação disruptiva; enquanto outros acreditam que TI não deve ser tratada como um assunto estratégico, visão também compartilhada pelo pesquisador e autor americano Nicholas Carr. Independentemente da visão que se tenha, após a empresa já ter superado os estágios iniciais do uso de TI, as operações se tornam cada vez mais dependentes dos sistemas de informação, de modo que, se o sistema integrado parar, o negócio também para. Então, quanto mais a empresa usa TI, quanto mais gasta dinheiro em TI, quanto mais maturidade ela alcança, mais a empresa estará dependente do uso de TI. 11 Importante ressaltar também que a empresa só vai conseguir extrair benefícios tangíveis do uso de TI, seja redução de custos, seja aumento de produtividade, melhoria de qualidade, ou maior flexibilidade para se transformar, à medida que ganhe maturidade. Portanto somente em estágios mais avançados de maturidade é que a TI não apenas dá suporte ao negócio, mas também influencia os planos de negócio, e é nesse estágio que pode contribuir para agregar valor aos produtos e serviços ou aos processos internos. Por isso é imperativo às empresas que busquem maior maturidade no uso de TI, para assim conseguirem fazer com que TI funcione como meio para ajudar o negócio a atingir os seus objetivos, em outras palavras, para que desse modo alinhem a estratégia de TI às estratégias de negócios e com a gestão adequada de questões de cibersegurança. Maturidade e papel de TI Vale lembrar que, na ciência da administração de empresas, os trabalhos de pesquisa buscam retratar as realidades existentes nas empresas, e, para tanto, o pesquisador vai às empresas para verificar como os fenômenos estudados estão acontecendo; obviamente, com a metodologia apropriada a cada caso em si, para ao final apresentar alguma resposta à pergunta de pesquisa, que pode até mesmo se tornar uma teoria sobre o assunto. Os conhecimentos adquiridos por meio dos processos de pesquisa são apresentados na forma de artigos, seja em congressos, seja em revistas das respectivas áreas de conhecimento. Essa teoria algumas vezes também pode ser apresentada na forma de um modelo, que tem a grande vantagem de nos ajudar a enxergar a realidade. Os modelos funcionam como lentes, dando-nos parâmetros para entender a realidade, e assim nos ajudam também a fazer diagnósticos. Para se pensar gestão de TI nas empresas, devemos levar em conta dois modelos seminais muito interessantes: o primeiro deles apresentado em 1979 pelo pesquisador e professor da Harvard Business School, Richard L. Nolan, que aborda o tema “maturidade no uso de TI”; e o segundo do pesquisador e também professor da Harvard Business School, F. Warren McFarlan, que no seu modelo apresentado em 1984 aborda “os diferentes papéis que TI pode desempenhar no negócio”. Em 1979, Nolan nos apresentou o resultado de uma pesquisa bastante abrangente realizada por ele, por meio da qual percebeu que existiam alguns comportamentos semelhantes de algumas empresas no que diz respeito a quatro dimensões: carteira de aplicações – projetos que tinham em desenvolvimento na área de TI da empresa; organização de processamento de dados – compreensão de como era organizada a área de TI da empresa; planejamento e controle de processamento de dados – planejamento e controle da área de TI da empresa e conhecimento do usuário – nível de conhecimento de TI dos funcionários da empresa. 12 Nolan (1979) olhou para essas quatro dimensões em várias empresas e percebeu que tinham comportamentos diferentes em cada uma, o que permitiu que ele criasse níveis, que chamou de estágios de crescimento,apresentando uma primeira versão da pesquisa em 1979 com quatro estágios, e um pouquinho mais à frente, em 1982, ele melhorou o modelo e chegou à sua versão final em que propõe seis estágios – iniciação, contágio, controle, integração, administração e maturidade – apresentados na figura 1. Percebam que em 1979 a área era ainda chamada de Processamento de Dados, e por isso essa nomenclatura é a que aparece no modelo, portanto onde lemos “processamento de dados” podemos entender “TI”, e dessa forma o modelo continua válido, pois é o que chamamos de modelo seminal, a partir do qual ainda continuamos a desenvolver conhecimento sobre o tema, modelo que ainda nos ajuda a pensar gestão de TI nas empresas. Figura 1 – Seis estágios de crescimento de processamento de dados Fonte: Nolan (1979) Ao analisarmos esse modelo, percebemos que existem níveis de maturidade diferentes na gestão de TI, onde a linha tracejada que percorre o centro do modelo de baixo para cima e da esquerda para a direita representa exatamente o nível de gastos em TI, que é uma das informações mais importantes, qual é o gasto total da empresa com TI. Dessa forma, o modelo nos mostra que 13 existe uma profunda correlação entre gastos e nível de maturidade em TI. Lembremos que maturidade não tem relação somente com tempo, mas sobremaneira com aprendizado; e a empresa somente vai aprender a usar TI se efetivamente usá-la, ou seja, significa que para se conquistar maturidade é necessário gastar com TI. A linha tracejada que aparece no meio do modelo representa exatamente o nível de gastos que vai crescendo à medida que a empresa vai conquistando maturidade no uso de TI; e nos mostra que, quando a empresa está ainda em níveis iniciais de maturidade, ela apresenta baixo gasto, e para a empresa conseguir alcançar níveis mais avançados de maturidade precisa gastar mais em TI. Mas perceba que só gastar não é suficiente, a empresa precisa também estar aprendendo, e esse é um aspecto que o modelo do Nolan (1979) nos traz, apontando em detalhe quais são as características de uma empresa que tem baixa maturidade. Se olharmos, por exemplo, empresas com baixa maturidade no uso de TI, encontraremos as seguintes características: a carteira de aplicações conta exclusivamente com projetos relacionados à redução de custos; a organização da área de TI leva em conta aspectos meramente técnicos; o planejamento e o controle da área são frouxos, dessa forma, no máximo apresenta um planejamento orçamentário; e o conhecimento do usuário na empresa como um todo é mínimo. Enquanto empresas com alta maturidade na gestão de TI devem apresentar as seguintes características: os projetos existentes são relacionados com um fluxo de informação e comunicação; a organização da área de TI é muito mais estratégica fazendo gestão de dados; o planejamento e o controle da área são de fato estratégicos, alinhados com as áreas de negócios; e o conhecimento do usuário como um todo é muito maior. Uma primeira aplicação prática desse modelo é nos ajudar a entender onde se situa alguma empresa que queiramos analisar, se com maior ou menor maturidade no uso de TI. Se a empresa tem baixo nível de maturidade, não podemos esperar que ela consiga usufruir muitos benefícios do uso de TI, pois para conseguir usufruir os benefícios do uso de TI ela deve ter maturidade; e o modelo nos sugere ainda o que a empresa deveria buscar para atingir os níveis mais elevados de maturidade e desse modo conseguir melhorar a sua competitividade. O segundo modelo que apresentamos é o proposto por McFarlan em 1984, apresentado na figura 2, a seguir, que nos permite visualizar como a TI está relacionada à estratégia e à operação do negócio da empresa. Tal modelo analisa o impacto das aplicações de TI presentes e futuras no negócio, definindo quatro “quadrantes” que representam a situação para a empresa, com as seguintes definições: suporte – a TI tem pequena influência nas estratégias atual e futura da empresa. Não há necessidade de posicionamento de destaque da área de TI na hierarquia da empresa. Usualmente, é o que acontece em uma manufatura tradicional; fábrica – as aplicações de TI existentes contribuem decisivamente para o sucesso da empresa, mas não estão previstas novas aplicações que tenham impacto estratégico. A área de TI deve estar posicionada em alto nível hierárquico. O exemplo clássico é o caso das companhias aéreas, que dependem dos seus sistemas de reservas de passagens, mas novos desenvolvimentos apenas atualizam essas aplicações; 14 transição – a TI passa de uma situação mais discreta (quadrante “suporte”) para uma de maior destaque na estratégia da empresa. A área de TI tende para uma posição de maior importância na hierarquia da empresa. O exemplo usualmente citado na bibliografia é a editoração eletrônica. Hoje, o e-commerce apresenta o mesmo perfil, pois de um papel de suporte na operação de uma empresa comercial passa a ser agente transformador do negócio; estratégico – a TI tem grande influência na estratégia geral da empresa. Tanto as aplicações atuais como as futuras são estratégicas, afetando o negócio da empresa. Nesse caso, é importante que a TI esteja posicionada em alto nível da sua estrutura hierárquica. Nos bancos, por exemplo, a TI apresenta esse papel estratégico. Figura 2 – Posição de sistemas de informação Fonte: McFarlan (1984) Nesse modelo, McFarlan (1984) nos apresenta outro aspecto muito importante para entendermos a gestão de TI nas empresas, qual o papel que TI desempenha no negócio, e, para tanto, ele olha para dois momentos distintos: ao citar o impacto estratégico dos sistemas operacionais existentes, refere-se ao presente; enquanto impacto estratégico da carteira de aplicações em desenvolvimento, refere-se ao futuro. Com essas lentes, McFarlan (1984) pesquisou diversas empresas e percebeu a existência de comportamentos semelhantes entre elas, para algumas empresas o impacto estratégico da TI no presente é baixo, e o impacto estratégico da TI no futuro também é baixo. Ele classificou a posição de TI como papel de suporte. Já no outro extremo, existem empresas cujo impacto estratégico da TI no presente é alto, assim como o impacto estratégico da TI no futuro é alto, posição que ele classificou como papel estratégico. 15 Interessante observar que a teoria proposta por McFarlan (1984) leva em conta em grande medida a teoria proposta por Nolan (1979), permitindo-nos chegar a algumas conclusões fundamentais para um bom entendimento da gestão de TI. Dessa forma, podemos perceber claramente a seguinte relação: empresas que têm baixa maturidade normalmente gastam pouco com TI, e também enxergam TI como suporte, em que se vê TI como custo. À medida que a empresa vai conquistando maturidade na gestão de TI, vai também gastando cada vez mais com TI, e o papel que TI desempenha no negócio também vai mudando, deixando de ser visto como suporte e passando a ter um papel estratégico no negócio. Como vemos, essas duas teorias estão muito relacionadas e são consideradas conceitos seminais para se tratar gestão de TI, tanto que os dois pesquisadores continuam as suas pesquisas e em 2005 desenvolveram outro modelo em conjunto, chamado “Grid de Impacto Estratégico de TI”, apresentado na figura 3, a seguir, por meio do qual apresentam evoluções sobre as suas teorias com indicações interessantes para melhor governança das atividades de TI. Figura 3 – Grade de impacto estratégico de TI Fonte: Nolan e McFarlan (2005) 16 Nesse modelo, Nolan e McFarlan (2005) nos propõem um olhar por meio de duas dimensões: por um lado, a necessidade de tecnologias confiáveis; por outro, a necessidade de novas tecnologias, ou seja, inovação. Com essas lentes, os autores pesquisaram diversas empresas e uma vez mais perceberam a existência de comportamentos semelhantes entre elas: empresas que apresentam baixa necessidadede tecnologias confiáveis e baixa necessidade de inovação foram classificadas como modo suporte; no outro extremo, empresas que apresentam alta necessidade de tecnologias confiáveis e alta necessidade de inovação estão no modo estratégico. Esse é mais um modelo com grande nível de detalhamento, ajudando-nos a entender e diagnosticar onde se encontra a empresa que quisermos analisar, embasando-nos a tomar boas decisões. Maturidade e papel de TI nas pequenas e nas médias empresas As pequenas e as médias empresas também adotam a TI com o mesmo objetivo de obter benefícios desse uso, porém a sua realidade é, na maioria dos casos, bastante diferente da das grandes empresas, especialmente por não possuírem os mesmos recursos e as mesmas competências na área de TI, com diferenças no que diz respeito ao estágio de informatização, sobretudo ao papel que a área de TI desempenha para cada uma. Para se pensar gestão de TI, de forma específica nas pequenas e nas médias empresas, propomos levar em conta o modelo apresentado em 2016 pelo pesquisador e professor da FGV, Álvaro Luiz Massad Martins, que aponta uma classificação considerando os investimentos em TI e o impacto no desempenho organizacional, levando em conta também a percepção dos gestores sobre estágios de informatização e o papel que a TI representa na empresa. Empresas que apresentam um nível de gastos e investimentos em TI mais elevado, associados com uma forte percepção dos gestores de que a TI pode contribuir positivamente com os objetivos da empresa, resultam em um nível de lucratividade superior; enquanto empresas cujos gestores percebem, de maneira intensa, que a TI não pode contribuir positivamente com os objetivos da empresa, mesmo que façam níveis considerados acima da média de gastos e investimentos em TI, apresentam um nível de lucratividade inferior, conforme demonstra os quatro agrupamentos apresentados na figura 4, a seguir. 17 Figura 4 – Síntese dos clusters Fonte: Massad-Martins (2016) O agrupamento 1, batizado de “Digitais”, é composto, na sua grande maioria, de empresas do setor de serviços, cujos gestores percebem a TI desempenhando hoje um papel estratégico na empresa e, no futuro, em todos os aspectos analisados. Consistentes com essa percepção, essas empresas são as que mais gastam em TI e, como resultado, atingem uma alta lucratividade anual líquida. O agrupamento 2, batizado de “Prudentes”, é composto, na sua grande maioria, de empresas dos setores do comércio, cujos gestores percebem a TI desempenhando hoje um papel estratégico na empresa e, no futuro, em todos os aspectos analisados, porém com menor intensidade que os “Digitais”. Em contrapartida, essas empresas são as que menos gastam em TI, e a sua lucratividade anual líquida atinge níveis superiores aos das empresas dos agrupamentos 3 e 4, ficando abaixo da lucratividade dos “Digitais”. O agrupamento 3, batizado de “Conservadores”, é composto de empresas de todos os setores, com maior número de funcionários e maior receita anual, cujos gestores percebem a TI desempenhando hoje um papel discretamente estratégico na empresa e, no futuro, em todos os aspectos analisados, exceto no que diz respeito ao aumento de produtividade. Essas empresas também gastam menos em TI, ficando à frente em gastos somente dos “Prudentes”, porém a sua lucratividade anual líquida está abaixo da alcançada pelos “Prudentes”, ficando um pouco acima somente em comparação às empresas do agrupamento 4. 18 O agrupamento 4, batizado de “Analógicos”, tem, na sua composição, igualmente empresas dos três setores. Os gestores desse grupo percebem a TI desempenhando hoje um papel não estratégico na empresa e, no futuro, em todos os aspectos analisados, gastam menos em TI que os “Digitais”, mas gastam mais em TI do que os “Prudentes” e os “Conservadores”. No que diz respeito à lucratividade anual líquida, ela é a mais baixa de todos os quatro grupos. A análise apresentada acima nos leva às seguintes conclusões: Há evidências da existência de quatro grupos distintos de empresas segundo as características da amostra, com comportamentos distintos no que diz respeito aos gastos e aos investimentos em TI e ao aumento da lucratividade da empresa, especialmente diante da presença de percepções específicas dos gestores acerca do papel que a TI desempenha na empresa. Quanto maior a percepção do impacto positivo de TI nos processos de negócio da empresa, tanto maior é o impacto dos gastos e dos investimentos em TI na lucratividade da empresa. Um elevado nível de gastos e investimentos em TI, associados com uma forte percepção de que a TI contribui com os objetivos da empresa, resulta em maior lucratividade, como nos “Digitais”. Empresas cujos gestores percebem que a TI não contribui com os objetivos da empresa, mesmo que façam níveis considerados acima da média de gastos e investimentos em TI, apresentam menor lucratividade, como nos “Analógicos”. Empresas cujos gestores têm percepção de que a TI contribui, mesmo essas empresas mantendo um nível de gastos e investimentos em TI abaixo da média das outras empresas, ainda assim acabam por apresentar uma lucratividade acima da média, como nos “Prudentes”. O comportamento dos “Conservadores” confirma as evidências apontadas acima, pois, apesar de apresentar níveis maiores de gastos e investimentos em TI do que os “Prudentes”, o fato de os gestores dessas empresas perceberem, de modo menos intenso, a contribuição que a TI pode trazer aos objetivos da empresa acaba levando-os a um nível de lucratividade menor que o dos “Prudentes”, reforçando, desse modo, o impacto da percepção dos gestores sobre o papel que a TI desempenha na empresa. Segurança da informação: um tema corporativo Já faz tempo que não “vamos mais para o on-line”, pois estamos on-line a qualquer hora, de qualquer local e dispositivo: anytime, anywhere, any device. É um desafio estar em locais onde não tenha conectividade com qualidade razoável, como 3G, 4G, wi-fi. Se não houver ou faltar energia, então o desafio fica maior ainda. A nossa vida está on-line, com uso exponencial do ciberespaço gerando dependência crescente da TI e consequentemente dos Sistemas de Informação (SIs) interconectados com sistemas globais e complexos em constante evolução e mutação. 19 Como bem colocado por Albuquerque, Sousa Júnior e Costa (2015), “tornou a base de sustentação de múltiplos setores da economia, constituindo-se como fonte de geração de recursos e capitais, bem como a projeção de poder de vários Estados, através do controle de recursos tecnológicos que compõem tal espaço”. Além disso, novas tecnologias, soluções e mercados surgem a todo o momento, fomentando e gerando volumes de dados e informações cada vez maiores, com acesso, e uso, apenas daqueles que lhe tem o direito e propriedade. Os demais interessados, simplesmente não devem acessar, compartilhar nem utilizar essas informações sem o conhecimento e a autorização dos proprietários. Nesse contexto, estamos – indivíduos, empresas, governos, nações – mais expostos às vulnerabilidades e aos riscos no espaço cibernético. De acordo com os mesmos autores supracitados, “se tornou comum explorar vulnerabilidades da informação neste ambiente”. Empresas no contexto da cibersegurança A seguir, vemos um ataque de negação de serviço distribuído no site da VideoLAN – distribuidor de software de código aberto – ocorrido em abril de 2013. Figura 5 – Ataque de negação de serviço distribuído Fonte: FAUVET, Ludovic. DDOS attack on the VideoLAN downloads infrastructure. YouTube, 23 abr. 2013. Disponível em: <https://www.youtube.com/watch?v=hNjdBSoIa8k>. Acesso em: 20 abr. 2021. https://www.youtube.com/embed/hNjdBSoIa8k?feature=oembed 20 Note os endereços IP dos atacantes à esquerda solicitando o arquivo de instalação do Windows para o cliente VLC, um player de vídeo. Ovolume desse ataque sobrecarrega os servidores do VLC, ao mesmo tempo em que alguns atacantes também solicitam “download.css”. Isso poderia facilmente ser um tipo de ataque diferente projetado para roubar dados da VLC, como informações de clientes e códigos fonte. Esse contexto sugere algumas reflexões: A inteligência é importante? Como e por que aplicá-la? É uma questão técnica e operacional? Um dos maiores ataques deste ano foi dirigido ao Blackbaud, um provedor de serviços em nuvem. Os invasores instalaram o ransomware e roubaram informações de pagamento de milhões de usuários em todo o mundo. A empresa teve de pagar o resgate não revelado e uma ação judicial se seguiu. Para fortalecer as defesas da computação em nuvem no futuro, as partes interessadas devem prestar atenção à configuração adequada de armazenamento em nuvem, à segurança das interfaces de usuário do aplicativo (APIs) e às ações do usuário final em dispositivos em nuvem. Desafios de segurança corporativa As empresas e os seus funcionários foram empurrados para um ambiente de trabalho remoto repentinamente, com os recursos de rede remota de muitas organizações ainda não tão protegidos quanto as suas infraestruturas de TI locais. Essa rápida mudança deixou muitas lacunas não seguras que os agentes mal-intencionados estão constantemente procurando explorar para obter ganhos financeiros. As mudanças tecnológicas que moldaram o local de trabalho em 2020 vieram para ficar, assim como as crescentes ameaças cibernéticas que as empresas enfrentam. Por conta disso, a maioria dos executivos afirma que gastará os seus orçamentos de TI principalmente na resiliência cibernética. As equipes de segurança precisam desenvolver políticas fortes para responder aos desafios da segurança cibernética, mas esse é apenas o primeiro passo. Eles precisam comunicar efetivamente essas políticas a toda a força de trabalho e treinar os funcionários para responder a elas. Apenas a título de exemplo, o CSO on-line compilou uma lista das maiores violações do século XXI usando critérios simples: o número de pessoas cujos dados foram comprometidos, distinguindo entre incidentes em que os dados foram roubados com intenção maliciosa e aqueles em que uma organização inadvertidamente deixou os dados desprotegidos e expostos. O Twitter, por exemplo, deixou as senhas dos seus 330 milhões de usuários desmascaradas em um log, mas não havia evidências de uso indevido, portanto o Twitter não entrou nessa lista. 21 Nessa relação estão listadas empresas, em ordem alfabética, com as 15 maiores violações de dados da história recente: Adobe, Adult Friend Finder, Canva, Dubsmash, eBay, Equifax, Heartland Payment Systems, LinkedIn, Marriott International, My Fitness Pal, MySpace, NetEase, Sina Weibo, Yahoo e Zynga. De acordo com a Verizon, os aplicativos da web estiveram envolvidos em 43% das violações e até 80% das organizações experimentaram uma violação de segurança cibernética originada de uma vulnerabilidade no seu ecossistema de fornecedores terceirizados. Em 2020, exposições de terceiros afetaram Spotify, General Electric, Instagram e outros nomes importantes. Anatomia clássica de um ataque e opções de proteção Ataques de negação de serviço distribuídos ou DDoS (definição mais adiante) ultrapassaram a casa do 2 Tbps já há alguns anos, atingindo 2,3 Tbps em fevereiro de 2020, segundo informações da Amazon.1 Alguns ataques memoráveis: GitHub2 – O ataque DDoS no GitHub inundou a empresa com 1,35 Tbps de dados (129,6 milhões de PPS), via memcaching. Invasores falsificaram o endereço IP do GitHub para enviar pequenas consultas a vários servidores memcached para acionar uma resposta importante na forma de uma resposta de dados 50x; WannaCry3 – ransomware baseado em criptografia; Mirai botnet 4 – IP cameras, home routers and video players), 620 Gbps, e Mirai botnet5 – Dyn (serviços de DNS), 1,2 Tbps. 1 Amazon thwarts largest ever DDoS cyber-attack. BBC, 18 jun. 2020. Disponível em: <https://www.bbc.com/news/ technology-53093611>. Acesso em: 27 ago. 2021. 2 NEWMAN, Lily Hay. GitHub Survived the Biggest DDoS Attack Ever Recorded. Wired, 3 jan. 2018. Disponível em: <https://www.wired.com/story/github-ddos-memcached>. Acesso em: 27 ago. 2021. 3 Massive ransomware infection hits computers in 99 countries. BBC, 13 maio 2017. Disponível em: <https://www.bbc.com/ news/technology-39901382>. Acesso em: 27 ago. 2021. 4 OSBORNE, Charlie. Mirai DDoS attack against KrebsOnSecurity cost device owners $ 300,000. ZDNet, 9 maio 2018. Disponível em: <https://www.zdnet.com/article/mirai-botnet-attack-against-krebsonsecurity-cost-device-owners-300000>. Acesso em: 27 ago. 2021. 5 WOLF, Nicky. DDoS attack that disrupted internet was largest of its kind in history, experts say. The Guardian, 26 out. 2016. Disponível em: <https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet>. Acesso em: 27 ago. 2021. 22 Basta uma rápida pesquisa no Google para verificar os ataques diários, conforme busca realizada em 20 de abril de 2021, às 19h: Figura 6 – Ataques cibernéticos Fonte: Cyber attacks. Google, 20 de abril de 2021. Algumas ferramentas de fabricantes mostram ataques em tempo real ao redor do mundo: Live Cyber Threat Map;6 Digital Attack Map7 (Google e Arbor); FireEye Cyber Threat Map;8 Kaspersky Cyber Threat Real-Time Map;9 Fortinet Threat Map;10 Akamai Globe.11 6 Live Cyber Threat Map. Disponível em: <https://threatmap.checkpoint.com>. Acesso em: 27 ago. 2021. 7 Digital Attack Map. Disponível em: <https://www.digitalattackmap.com/#anim=1&color=0&country=AU&list=0&time= 18699&view=map>. Acesso em: 27 ago. 2021. 8 FireEye Cyber Threat Map. Disponível em: <https://www.fireeye.com/cyber-map/threat-map.html>. Acesso em: 27 ago. 2021. 9 Kaspersky Cyber Threat Real-Time Map. Disponível em: <https://cybermap.kaspersky.com>. Acesso em: 27 ago. 2021. 10 Fortinet Threat Map. Disponível em: <https://threatmap.fortiguard.com>. Acesso em: 27 ago. 2021. 11 Akamai Globe. Disponível em: <https://globe.akamai.com>. Acesso em: 27 ago. 2021. 23 Para conseguir entender melhor a anatomia de um ataque e como evitar o pior, devem-se fazer algumas perguntas básicas: o que proteger primeiro? Como proteger? O sistema global de TI pode ser explorado por uma variedade de usuários ilegítimos e ainda pode ser usado como uma ferramenta de agressão em nível de Estado, portanto precisamos pensar em vários níveis de ofensores: hackers, criminosos e terroristas. Dessa forma, podemos basicamente sistematizar em quatro níveis as ameaças: crime de baixo-nível/individual (hacking); criminalidade grave e organizada; extremismo político e ideológico e ataques cibernéticos patrocinados pelo Estado. Registros indicam que o primeiro ataque DDoS conhecido ocorreu em 1996, quando um antigo ISP (Panix) ficou off-line por vários dias por uma inundação de SYN, e desde então não pararam de crescer: Gráfico 1 – Total de ataques DDoS Fonte: GURINAVICIUTE, Juta. Five biggest cybersecurity threats: how hackers utilize remote work and human error to steal corporate data. 3 fev. 2021. Disponível em: <https://www.securitymagazine.com/articles/94506-5-biggest- cybersecurity-threats>. Desde o início da pandemia, o FBI viu um aumento de quatro vezes nas reclamações de segurança cibernética, enquanto as perdas globais com o crime cibernético ultrapassaram US$ 1 trilhão em 2020. O “Relatório de Riscos Globais 2020” do Fórum Econômico Mundial afirma que as chances de capturar e processar um cibercriminoso são quase nulas (0,05%). Dadas as circunstâncias, a consciência comercial e a resiliência são essenciais para proteger dados confidenciais e evitar violações. 24 Tipos de ataques conhecidos As ameaças cibernéticas tornam-se mais sofisticadas e intensas em meio aos níveis crescentes detrabalho remoto e dependência de dispositivos digitais. Aqui estão as oito mais prejudiciais para as empresas em 2020: engenharia social; ransomware; ataques DDoS; software de terceiros; e vulnerabilidades de computação em nuvem. Engenharia social Em 2020, quase 1/3 das violações incorporou técnicas de engenharia social, das quais 90% eram phishing. Os ataques de engenharia social incluem, mas não estão limitados a, e-mails de phishing, scareware, quid pro quo e outras técnicas, e todas manipulam a psicologia humana para atingir objetivos específicos. A Cisco indica que ataques de spear phishing bem-sucedidos são responsáveis por 95% das violações em redes corporativas. Na verdade, as tentativas de phishing aumentaram 667% em março, e 43% dos funcionários admitem ter cometido erros que comprometeram a segurança cibernética. Em julho de 2021, o Twitter foi vítima de um ataque de phishing bem-sucedido, que rendeu aos golpistas mais de US$ 100 mil. Além disso, os cibercriminosos roubaram US$ 2,3 milhões de uma escola do Texas e tentaram obter dados pessoais forjando um e-mail da Organização Mundial da Saúde (OMS). Para evitar golpes de engenharia social, as empresas podem implementar o Zero Standing Privileges. Isso significa que um usuário recebe privilégios de acesso para uma tarefa específica que dura apenas o tempo necessário para concluí-la. Portanto, mesmo que os hackers tenham acesso às credenciais, eles não poderão acessar sistemas internos e dados confidenciais. Ransomware É um programa de criptografia de dados que exige pagamento para liberar os dados infectados. A soma total dos pedidos de resgate terá atingido US$ 1,4 bilhão em 2020, com uma soma média para retificar o dano atingindo até US$ 1,45 milhão. Ransomware é o terceiro tipo de malware mais popular usado em violações de dados e é empregado em 22% dos casos. Em 2021, os hackers comprometeram os dados de pesquisa da Covid-19 e exigiram US$ 1,14 milhão da Universidade da Califórnia, atacaram a gigante da fotografia Canon e foram até responsáveis por incidentes letais. Na Alemanha, os cibercriminosos buscaram um hospital em busca de resgate, com os sistemas de atendimento ao paciente sendo desativados e resultando na morte de um paciente. 25 Ataques DDoS Houve 4,83 milhões de tentativas de ataques DDoS apenas no primeiro semestre de 2020, e cada hora de interrupção do serviço pode ter custado às empresas até US$ 100 mil, em média. Para formar um botnet necessário para um ataque DDoS coordenado, os hackers empregam dispositivos previamente comprometidos por malware ou hacking. Dessa forma, toda máquina pode estar realizando atividades criminosas sem que o seu proprietário saiba. O tráfego pode então ser direcionado contra, digamos, AWS, que relatou ter impedido um ataque de 2,3 Tbps em fevereiro. No entanto, o aumento do tráfego não é a única coisa que preocupa os especialistas em segurança cibernética. Os criminosos agora empregam inteligência artificial (IA) para realizar ataques DDoS. Há alguns anos, eles conseguiram roubar dados de 3,75 milhões de usuários do aplicativo TaskRabbit, e 141 milhões de usuários foram afetados pelo tempo de inatividade do aplicativo. Entretanto o veneno é a cura, pois a IA também pode ser empregada para procurar os pontos fracos, especialmente se houver uma grande quantidade de dados envolvidos. Em 2021, as organizações adotaram o trabalho remoto a taxas sem precedentes. O aumento do tráfego on-line e a dependência de serviços digitais os tornaram mais vulneráveis aos cibercriminosos. Os ataques DDoS não custam muito, portanto há um fornecimento crescente de serviços DDoS de aluguel, aproveitando a escala e a largura de banda das nuvens públicas. Software de terceiros Os 30 maiores varejistas de comércio eletrônico nos EUA estão conectados a 1.131 recursos de terceiros cada, e 23% desses ativos têm pelo menos uma vulnerabilidade crítica. Se um dos aplicativos desse ecossistema for comprometido, ele abrirá aos hackers um portal para outros domínios. Uma violação causada por terceiros custa US$ 4,29 milhões em média. Vulnerabilidades de computação em nuvem Estima-se que o mercado global de computação em nuvem cresça 17% em 2021, totalizando US$ 227,8 bilhões. Enquanto a pandemia dura, a economia também testemunhou um aumento de 50% no uso da nuvem em todos os setores. Essa tendência é uma isca perfeita para os hackers, que realizaram 7,5 milhões de ataques externos em contas na nuvem no segundo trimestre de 2020. Desde o início do ano, o número de tentativas de violação cresceu 250% em comparação com 2019. Os criminosos procuram servidores em nuvem sem senha, explora sistemas não corrigidos e executa ataques de força bruta para acessar as contas de usuário. Alguns tentam plantar ransomware ou roubar dados confidenciais, enquanto outros usam sistemas de nuvem para criptojacking ou ataques DDoS coordenados. 26 Virus e outros ataques que visam prejudicar ou inibir o funcionamento de processos ou sistemas Um vírus de computador é um programa malicioso desenvolvido por programadores que, tal como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros computadores, utilizando-se de diversos meios. O vírus de computador se instala com o objetivo de prejudicar o desempenho de uma máquina, destruir arquivos ou mesmo se espalhar para outros computadores. Com isso, um computador que tem um vírus instalado pode ficar vulnerável a pessoas mal-intencionadas, que podem vasculhar os arquivos do sistema, bem como roubar dados pessoais, como senhas e números de cartões de crédito. A maioria das contaminações ocorre pela ação do usuário executando o arquivo infectado recebido como um anexo de um e-mail, por exemplo. Porém, a contaminação também pode ocorrer por meio de arquivos infectados em pen-drives. Outro modo de contaminação é através do sistema operacional desatualizado, que sem correções de segurança, que poderiam corrigir vulnerabilidades conhecidas dos sistemas operacionais ou aplicativos, podem causar o recebimento e execução do vírus inadvertidamente. Ainda existem alguns tipos de vírus que permanecem ocultos em determinadas horas, entrando em execução em horas especificas. Quem desenvolve tais vírus são pessoas com grande conhecimento em programação e sistema operacional de computadores. Na internet há um grande comércio de vírus, principalmente aqueles para roubo de senhas de banco e de cartões. Furto de identidade (identity thief) Os ladrões de identidade geralmente obtêm informação pessoal, como senhas, números de identidade, números de cartão de crédito ou CPF, e fazem mau uso destes dados para agir de forma fraudulenta em nome da vítima. Os detalhes sensíveis podem ser usados com vários propósitos ilegais incluindo pedidos de empréstimo, compras on-line ou acessar os dados médicos e financeiros da vítima. O furto de identidade está muito próximo do phishing e de outras técnicas de engenharia social que são frequentemente usadas para bisbilhotar informação sensível da vítima. Perfis públicos nas redes sociais ou em outros serviços on-line populares também podem ser usados como fonte de dados, ajudando criminosos a se passarem por seus alvos. 27 Quando os ladrões de identidade coletam tais informações, eles podem usá-las para fazer compras em nome da vítima, controlar as suas contas on-line ou realizar ações legais em seu nome. Em curto prazo, os indivíduos afetados podem sofrer perda financeira, devido a saques não autorizados e compras feitas em seu nome. A médio prazo, as vítimas podem ser responsabilizadas pelas ações dos executores e serem investigadas pelos órgãos legais, bem como encarar consequências, como o pagamento de encargos legais, mudanças no seu status de crédito ou danos no seu nome limpo. Golpe do boleto falso É uma prática realizada por criminosos que fazem cópiasde documentos de cobrança como se fossem verdadeiros para que o pagamento da vítima caia na conta bancária do bandido. O golpe do boleto falso está cada vez mais sofisticado, mas há alguns indícios que ajudam a identificá-lo antes que você se torne uma vítima deste tipo de cilada. Entre eles, estão: Código de barras duvidoso: é possível identificar algumas características peculiares nos boletos falsos que podem ser verificadas por quem está em dúvida se o documento é ou não verdadeiro. Comece conferindo se os últimos dígitos do código de barras correspondem ao valor a ser pago. Caso sejam diferentes, o boleto não é verdadeiro. E se a cobrança for uma conta recorrente, como a de energia elétrica, água, mensalidade escolar e afins, duvide de qualquer alteração. Verifique, ainda, se os primeiros dígitos do código de barras coincidem com o código do banco emissor. Beneficiário desconhecido: outro cuidado importante para averiguar a veracidade do boleto é sempre verificar o nome da pessoa ou empresa que receberá o pagamento. Também é recomendado verificar se o CNPJ da emissora é real no aplicativo da Receita Federal para smartphones e nas listas constantemente divulgadas pelo Procon (Departamento Estadual de Defesa do Consumidor). Impossibilidade de leitura do código de barras: boletos adulterados geralmente possuem leitura imcompatível, obrigando o destinatário a digitar manualmente a sua numeração. Por isso é recomendado tentar lê-lo com a câmera do celular ao invés de digitá-lo e sempre redobrar a atenção quando encontrar essa dificuldade. Boleto recebido pelos Correios: como o golpe do boleto falso tem sido cada vez mais frequente, o mais indicado é dar prioridade para pagar o documento emitido direto no site da instituição, já que vias físicas têm mais chances de ter sido adulteradas. Existem alguns casos em que os golpistas sequestram as correspondências e adulteram os dados bancários. Neste tipo de situação, a melhor saída para evitar cair no golpe do boleto falso é solicitar à instituição correta para que o valor seja debitado automaticamente da sua conta bancária. 28 As ferramentas de exploração de vulnerabilidades se encontram no centro de um processo de produção e comercialização que, com os seus diversos atores, constituem um mercado à parte. É importante para o profissional de segurança da informação e combate ao cibercrime ter conhecimento desse mercado específico, no sentido de organizar proteções de sistemas de informação, e também realizar investigações de evidências do cibercrime” (ALBUQUERQUE; SOUSA JÚNIOR; COSTA (2015). Entretanto com as ameaças e os ataques cada vez mais volumosos, complexos e frequentes, como se proteger? 29 BIBLIOGRAFIA Livros ALBERTIN, Alberto L.; ALBERTIN, Rosa M. M. Estratégias de governança de tecnologia da informação. São Paulo: Elsevier, 2010. ALBERTIN, Alberto L.; ALBERTIN, Rosa M. M. Tecnologia de informação e desempenho empresarial: as dimensões de seu uso e sua relação com os benefícios de negócio. São Paulo: Atlas, 2012. WEILL, Peter; ROSS, Jeanne W. Governança de TI. São Paulo: M.Books, 2006. Artigos ABRAHAM, C.; SIMS, R. R.; GREGORIO, T. Develop your cyber resilience plan, 2020. ALBUQUERQUE, R. O.; SOUSA Júnior, R. T. de; COSTA, J. P. C. T. Um Levantamento sobre o mercado de exploração de vulnerabilidades do espaço cibernético. Departamento de Engenharia Elétrica, Universidade de Brasília (UnB), 2015. CARR, N. G. TI já não importa. HBR Brasil, 2003. COWAN, C.; GASKINS, C. Monitoring physical threats in the data center. American Power Conversion, 2006. CYBERSECURITY GOVERNANCE GUIDELINES. Information Technology Authority, Governance & Standard Division, 2007. GOUVEIA, L. B. O recurso e a contribuição potencial da inteligência artificial para a cibersegurança em ambientes digitais. Universidade Fernando Pessoa, 2016. HEPFER, M.; POWELL, T. C. Make cybersecurity a strategic asset. MIT Sloan Review, 2020. HUANG, K.; SIEGEL, M.; PEARLSON, K.; MADNICK, S. Casting the dark web in a new light. MIT Sloan Review, 2019. HUMAYUN, M.; NIAZI, M.; JHANJHI, N. Z.; ALSHAYEB, M.; MAHMOOD, S. Cyber security threats and vulnerabilities: a systematic mapping study. Arabian Journal for Science and Engineering, 2020. 30 HUSSAIN, S. N.; SINGHA, N. R. A survey on cyber security threats and their solutions. International Journal for Research in Applied Science & Engineering Technology, 2020. KLINCZAK, M. Uso da inteligência na detecção de ameaças cibernéticas. MIS Quarterly, The Eleventh International Conference on Forensic Computer Science and Cyber Law, 2014. KWON, J.; JOHNSON, M. E. Proactive versus reactive security investments in the healthcare sector. MIS Quarterly, 2014. PEREIRA, C. R. Sistema de detecção de intrusão usando big data, inteligência artificial e sistemas colaborativos. Escola de Comando e Estado-Maior do Exército, 2020. ROSS, J. W.; WEILL, P. Seis decisões que sua equipe de TI não deve tomar. HBR Brasil, 2002. SCHINAGL, S.; SCHOON, K.; PAANS, R. A framework for designing a security operations centre (SOC), 2015. SOLMS, R.; NIEKERK, J. From information security to cyber security. School of ICT, Nelson Mandela Metropolitan University, 2013. SUÁREZ, F.; LANZOLA, G. A meia verdade da vantagem do pioneiro. HBR Brasil, 2005. TISDALE, S. M. Cybersecurity: challenges from a systems, complexity knowledge management and business intelligence perspective. Issues in Information Systems, 2015. VENKATRAMAN, N. IT-enabled business transformation: from automation to business scope redefinition. MIT, SMR, 1994. WILSON, S. A.; HAMILTON, D.; STALLBAUM, S. The unaddressed gap in cybersecurity: human performance. MIT Sloan Review, 2020. 31 PROFESSOR-AUTOR Álvaro Luiz Massad Martins Formação acadêmica: Doutor, mestre e graduado em Administração de Empresas pela Escola de Administração de Empresas de São Paulo da Fundação Getulio Vargas (FGV Eaesp). Experiência profissional: Mais de 30 anos de experiência no segmento de TI, tendo atuado em posições de direção em empresas como: Alcatel-Lucent, Mandriva, PCS do Brasil, Intelbras, Diveo, Embratel, Datasites, Xerox e American Express. Atualmente, é diretor executivo da IT by Insight, empresa de consultoria na área de TI, que tem por missão maximizar a performance dos negócios dos seus clientes, ajudando-os na jornada em direção à transformação digital. 32 SUMÁRIO CIBERSEGURANÇA: ANATOMIA CLÁSSICA DE UM CIBERATAQUE Introdução Histórico de TI nas organizações Era do computador Era da informação Transformação digital e cibersegurança Maturidade e papel de TI Maturidade e papel de TI nas pequenas e nas médias empresas Segurança da informação: um tema corporativo Empresas no contexto da cibersegurança Desafios de segurança corporativa Anatomia clássica de um ataque e opções de proteção Tipos de ataques conhecidos Engenharia social Ransomware Ataques DDoS Software de terceiros Vulnerabilidades de computação em nuvem Virus e outros ataques que visam prejudicar ou inibir o funcionamento de processos ou sistemas Furto de identidade (identity thief) Golpe do boleto falso BIBLIOGRAFIA PROFESSOR-AUTOR Álvaro Luiz Massad Martins Formação acadêmica: Experiência profissional:
Compartilhar