Sequestro de arquivos: como evitá-los

Por Ricardo Rodrigues, Engenheiro de Sistemas Sênior da Progress na América Latina

Salvador, 13/09/2021 – O modelo de segurança pré-pandemia era muito mais simples e algumas empresas sequer percebiam isso. Se uma pessoa estava trabalhando com arquivos confidenciais, provavelmente estava utilizando uma rede interna da empresa. Eventualmente, poderia dar alguns passos e consultar a equipe de TI para esclarecer alguma dúvida ou até mesmo imprimir o arquivo confidencial e compartilhar as informações com outro membro da organização de forma offline.

A globalização e a massiva digitalização foram os gatilhos para uma mudança de era. O envio de arquivos foi modificado como tantos outros aspectos da vida diária. Nessa mudança, uma nova ameaça apareceu: o sequestro de arquivos. Estima-se que na América Latina, durante o primeiro trimestre de 2021, houve sete bilhões de tentativas de invasão de dados, de acordo com a Kaspersky. Algumas tiveram repercussão mundial, como a invasão do Banco de Bangladesh pelo Grupo Lazarus, o ataque à Colonial Pipeline nos Estados Unidos e o vazamento na plataforma secreta da OTAN.

Esses exemplos são claras amostras de que todos os órgãos públicos, empresas privadas e instituições internacionais são vítimas potenciais de ataques cibernéticos. Uma das estratégias de invasão dos sequestradores de dados é assumir o controle a partir de um dispositivo conectado à internet. Em tempos de trabalho remoto, se o computador do qual o material confidencial foi enviado navegou anteriormente em páginas nas quais pode ter sido afetado por um vírus, uma organização inteira corre o risco de estar vulnerável a possíveis invasões. Depois que o problema se instala, geralmente é difícil eliminá-lo. Então, surge a seguinte questão: temos um sistema paranóico o suficiente para garantir a segurança de todos os nossos arquivos?

Primeiramente, é necessário entender que cada organização tem seus próprios requisitos de segurança e não há uma fórmula aplicável a todas. Existe um sistema adequado para cada caso, embora nem sempre seja alcançado devido a fatores como custo, conveniência e desconhecimento geral sobre possíveis vulnerabilidades.

O software de Transferência Gerenciada de Arquivos (Managed File Transfer ou MFT, na sigla em inglês) é uma solução segura que tem sido cada vez mais incorporada nos últimos tempos. A chave para uma boa utilização é entender quanta segurança uma organização precisa, quanto ela pode pagar e quanto será tolerada pelos usuários.

Por exemplo, nem todos os sistemas MFT criptografam arquivos em repouso automaticamente e alguns oferecem esta função apenas como configuração opcional, o que não é necessariamente a melhor alternativa. Ou uma organização pode apresentar resistência a criptografar e descriptografar novamente cada arquivo em cada acesso, caso lidem com centenas de transferências diárias. O mesmo se aplica a outros quesitos, como redefinição de senha com base em questões de segurança.

Algumas recomendações precisam ser levadas em consideração. Se estiver operando sob regulamentos como HIPAA, GDPR, CCPA, SOX ou PCI-DSS é obrigatório usar um sistema de criptografia capaz de mostrar a qualquer momento que a transferência de dados foi realizada com segurança e que apenas pessoas autorizadas tiveram acesso. Isso significa que os dados devem ser mantidos criptografados em trânsito (durante a transferência entre pessoas ou sistemas) e em repouso (quando armazenados em algum lugar).

Também recomenda-se que o software MFT produza relatórios automaticamente com os detalhes de quem teve acesso e confirme que não houve violação. Isso responde às duas perguntas principais que são feitas quando há uma invasão: o que aconteceu e quando aconteceu.

Em termos de acesso, a autenticação multifator é o método mais eficaz. Por meio da confirmação no início da sessão, combina-se o que se sabe (nome de usuário e senha) com o que se tem (telefone, gerador de tokens etc.). Há um número contundente: 300 milhões de sistemas Azure da Microsoft são examinados constantemente por intrusos e a única coisa que impede o acesso em 99,9% do tempo é a implementação desse recurso.

Por fim, a rotação periódica das chaves de criptografia de maneira fácil e segura, que pode até ser feita automaticamente, é mais um caminho para o sucesso. Somado a isso, há sistemas que fornecem rastreamento sobre o status das alterações e detalhes de quando foram executadas.

Existem vários recursos e funções de melhores práticas. Não há fórmulas mágicas ou regras gerais, mas entender o problema e seguir as recomendações básicas podem ser o primeiro passo para encontrar um sistema de segurança que atenda às necessidades de cada organização.

Últimas notícias

Vagas de TI
NAVA tem mais de 100 vagas de trabalho em aberto

Salvador, 18/04/2024 – A NAVA Technology for Business, empresa que fornece serviços e soluções de tecnologia, está ampliando sua oferta de vagas e, atualmente, tem mais de 100 posições abertas para atuação em São Paulo, Belo Horizonte, Curitiba, Maringá, Barueri e Osasco (modelo híbrido) e outras para atuação 100% remota, considerando profissionais de todo o […]
Dança da Cadeiras
Alexandre Tannous é o novo CTO da Accesstage

Executivo acumula mais de 25 anos de experiência e passagens por grandes empresas do mercado Salvador, 18/04/2024 – Especializada em tecnologia para pagamentos B2B e gestão financeira das empresas, a Accesstage estipulou metas agressivas para este ano de 2024. Uma delas é o crescimento de 120% e o atingimento de R$ 5Bi em recebíveis antecipados […]
Negócios
Senior Sistemas é certificada pela Great Place to Work pelo 7º ano consecutivo

Companhia reforça a importância do crescimento sustentável, impulsionado por um trabalho organizacional voltado para competências e pelo comprometimento dos mais de 2 mil colaboradores Salvador, 18/04/2024 – Somando mais de 35 anos de atuação no mercado de tecnologia para gestão dos negócios, a Senior Sistemas é hoje uma das principais empresas do Brasil quando o […]
Negócios
SEK anuncia aquisição da PROOF

Salvador, 18/04/2024 – A SEK (Security Ecosystem Knowledge), provedora de soluções e serviços de cibersegurança voltados a apoiar as empresas a lidar com ameaças digitais complexas, anuncia a aquisição da PROOF, empresa referência no mercado de Segurança da Informação, com ofertas de Serviços Gerenciados de Segurança (MDR – Managed Detection and Response) e Consultoria (governança […]
Artigos
Produção fabril do futuro: Microsoft anuncia inovações de IA para a indústria que vão desde soluções para nuvem até produção final

Por Kathleen Mitford – CVP, Indústria Global da Microsoft Salvador, 18/04/2024 – Após anos de incerteza, com a diminuição da produção na cadeia de suprimentos e o aumento das expectativas dos clientes, até mudanças na demanda do consumidor e escassez de mão de obra, a manufatura continua sendo uma das indústrias mais resilientes e complexas. […]

Menu