Paradoxalmente, poucos dias após um ataque de grandes proporções ter exposto os dados de 80 milhões pessoas nos EUA, comemorou-se, em mais de cem países, o Dia da Internet Segura. As vítimas do cybercrime dessa vez eramcidadãos norte-americanos usuários de planos de saúde da segunda maior empresa do segmento no país. Como podemos constatar, a data não é exatamente comemorativa, mas uma oportunidade para alertar e conscientizar internautas sobre a forma como utilizam a internet. Já para as empresas, presta-se a relembrar os cuidados que devem ser tomados para evitar invasões e garantir a segurança das informações. Mesmo ocorrendo uma série de ataques todos os dias em todo o mundo, muitas companhias ainda ignoram os recursos de segurança e não os priorizam como estratégicos para os seus negócios. Mesmo em um país como o Brasil, que segundo dados da Fecomercio SP, já representa a quarta economia digital do mundo e 60% das transações na América Latina, esses cuidados são ainda incipientes. Pesquisas mostram que a maioria das empresas dispõe de um sistema de gestão de segurança da informação informal, bem longe do ideal, ou então, o que é pior, não empreendem grandes esforços para isso.
O conceito de Bring Your Own Device (BYOD), por exemplo, está sumindo ou simplesmente deixando de ter efeito, pois as aplicações empresariais estão cada vez mais na nuvem. Dessa forma, a partir do momento em que os dados estão fora do perímetro físico da rede da instituição, a segurança acaba sendo delegada ao provedor do serviço na nuvem – o que significa controle ainda menor por parte das corporações.
E o grande problema é que quase nunca se sabe quais as medidas preventivas foram implementadas ou qual a política de segurança desse provedor. Além disso, torna-se impraticável qualquer tipo de controle sobre qual o dispositivo que será utilizado para acessar os recursos da nuvem, já que os colaboradores podem usar seu notebook, smartphone ou um simples computador caseiro, no qual o controle de segurança pode ser precário.
A saída para proteger-se desses tipos de ataques – também conhecidos como Advanced Persistent Threat (ATP) – e lidar com essas ameaças, é tornar o processo de autenticação virtual mais seguro. Os APT’s costumam iniciar com engenharia social, ou seja, pela manipulação de usuários para obter informações confidenciais sobre brechas de segurança ou mesmo sobre os próprios usuários e senhas de acesso a dados importantes e restritos. O recente ataque a bancos pelo grupo de hackers chamados de Carbanak, com desvios de cerca de US$ 1 bi em quatro meses de atuação, é a prova disso.
Para evitar esse tipo de risco, a tecnologia de autenticação avançada baseada em desafio-resposta é a mais indicada e pode ser facilmente aplicada. Ela reduz drasticamente os riscos envolvidos e impede o acesso não autorizado, roubo de senhas estáticas, compartilhamento de senhas ou mesmo os ataques de engenharia social. A segurança desse tipo de tecnologia é incomparável, já que obrigatoriamente o usuário, em vez de digitar manualmente um desafio, será obrigado a interagir diretamente com a tela do seu computador ou do seu dispositivo móvel para validar operações.
Sendo assim, é cada vez mais evidente a necessidade de investir na checagem das operações de usuários. Pois, um ponto comum a todos os ataques está relacionado à identificação de usuários, que é a principal porta de entrada dos hackers. As empresas podem e devem fazer uso de tecnologias capazes de simplificar esse processo e ao mesmo tempo proporcionar autenticação avançada. Sem políticas bem definidas e tecnologia de ponta nunca nenhum ambiente estará protegido.
*Alexandre Cagnoni é CTO da Datablink, fornecedor global de soluções avançadas para autenticação, assinatura de transações e prevenção de fraudes