Tínhamos Segurança e agora temos ainda mais? Como estávamos e para onde vamos? A Segurança está acompanhando o ritmo desta Transformação?

Você já se fez as perguntas do título deste artigo? Que conclusão você chegou?

 Essa pandemia parece que nos empurrou garganta abaixo uma série de questões sobre segurança da informação. Pessoas que nunca na sua vida se imaginavam fazendo Home Office e, da noite para o dia se viram diante desta realidade. 

Pessoas que nunca imaginaram um dia ter essa "cultura", de alguma forma buscaram se adaptar e, de certa forma se adaptaram. De um dia para o outro começaram a se preocupar um pouco mais com:

• Phishings - Acho que nunca receberam tantos email na vida. E muita das que eu conversei nem perdiam tempo lendo a caixa de spam. Estavam falando somente da quantidade de emails que recebem na caixa de entrada, todas que já foram "classificadas" pelo provedor e passaram por seus sistemas de anti spams
• Mensagens SMS, WhatsApp, Telegram... - Deixei separado de phishing pois para muitas pessoas que conversei encaram como outra forma de engenharia social. Digamos que seriam os SMSishings (ou Smishing). Unânime. Aumento grande deste tipo de mensagem. Vários golpes já de conhecimento público como a confirmação de anúncios em sites como Mercado Livre, OLX entre outros. Muitos SMS FALSO de atualização de Bancos, redes sociais e emails.
• Telefonemas Estranhos - Alguns golpes tiveram uso de telefonia. Alguns golpistas ligam para as vitimas alegando serem de Bancos, financiadoras e empresas de cobrança. Muitas vezes este golpe termina em alguns dos ataques (phishings e smsihings) citados acima e, assim conseguem roubar seus dados.
• Sites Falsos (Fake Sites) - Muitos sites falsos foram criados. Vários sites de Bancos brasileiros clonados e domínios que lembram estes bancos criados. Alguns sites visando roubar seus dados e outros te induzindo a instalar uma atualização do software de segurança.
• Reuniões Online - Sem comentários quanto a isso. Eu mesmo brinco que estou com trauma de chegar na cozinha e ver um invite para uma reunião grudada na geladeira. Já falei que existem dois tipos de reuniões online e que são a online (sem câmera) e a presencial (com câmera aberta). Já participei de reuniões online e remotas, os quais muitos estavam de ternos e todos muito bem vestidos. Pelo menos eu não vi ninguém de pijamas...
• Eventos Online - Muitos eventos foram migrados para eventos online e, pessoas tiveram que se adaptar a ver estes em seus desktops, celulares e até mesmo na TV da sala. Pelo menos vi e vejo vários eventos na TV da minha sala. As vezes a família reclama mas entende. Aprenderam o conceito de Networking virtual de uma forma bem clara.
• Atualização de seus Dispositivos - Os usuários começaram a se preocupar com as atualizações de seus dispositivos móveis ou desktops. As Empresas trataram este tema nos processos de conscientização e, os Funcionários e Usuários já começam a fazer este processo ou, o sistema de MDM que as Empresas possuem já executam tal processo de forma transparente para o Funcionário.

Empresas da noite para o dia se viram obrigadas a "emprestar" as estações de trabalho que os funcionários usavam em suas mesas de trabalho, para que estes pudessem usar em suas mesas de casa. Tiveram que se adaptar a realidade do Home Office, assim como seus colaboradores, da noite para o dia. As Empresas estavam vivendo uma transformação cultural e, a Segurança precisava acompanhar isso. Uma curiosidade: Uma pesquisa realizada pela McKinsey indicou que o principal gargalo nas transformações digitais é a falta de uma cultura forte e comum. Um quarto das Empresas que participaram da pesquisa relataram que seu maior desafio é uma cultura contrária ao risco, enquanto outras 20% acha que a falta de uma compreensão em comum da cultura da Empresa é um impedimento para o sucesso da transformação digital.

 Quando pensamos na Segurança várias preocupações sempre postergadas foram colocadas em práticas, tais como:

• Home Office (Conceito) - Várias Empresas nem conheciam este termo ou, sequer pensavam que diante de sua cultura, esse era um tema distante da realidade. E aí ? Treinamento, migrações, aquisição de softwares e mais licenças. E agora com uma grande diferença.. O Home Office não tinha mais que ter aprovação do board. Já estava aprovado. Ou melhor, não foi aprovado, foi implementado.
• Cloud - Migração de vários ambientes e sistemas migrados para Cloud em tempo recorde de projeto. Sistemas antes legados, foram substituídos por sistemas online, em ambiente novo e, em algumas vezes, de cara nova. Treinamento para colaboradores sendo planejado junto ao projeto de migração. Muitos dados migrados rapidamente e, muitos deles compartilhados entre pessoas e áreas da Empresa.
• VPN - Correram para buscar licenças de VPN (Virtual Private Network) para todos seus colaboradores. Para muitas Empresas era um plano que seria colocado em prática de forma "faseada", planejada. Imagina. Foi do tipo "Vocês tem 2 dias para subir metade da Empresa e mais 1 (já que já aprenderam) para subir a outra metade".. E o mais legal ? Conseguiram. Fizeram e muitas mas muitas Empresas fizeram bem feito. Projeto que deu orgulho para muitos...
• Conscientização da Segurança - Treinamentos foram criados e, muito implementaram o conceito de "gameficação". Em eventos de segurança o tema conscientização veio com força e muitos começaram a ver a Segurança com outros olhos.
• Autenticação forte - Muitas empresas implementaram duplo fator de autenticação. Projetos não só de autenticação forte como de Cofre de Senhas foram implementados rapidamente ou, iniciados rapidamente.
• Reuniões Online - Sim. Plataformas de reuniões online tiveram que ser adquiridas ou, ampliadas. Exemplo idêntico as questões colocadas acima quando falei dos colaboradores.
• MDM (Gerenciamento de Devices) - Empresas se viram diante de um BYOD mais do que forçado. Muitas Empresas além de investir em novos dispositivos para seus colaboradores, também abriram a possibilidade do Funcionário trazer o seu dispositivo mas, para isso precisaria instalar o sistema de MDM interno. Aquisição de novas licenças, novos relatórios sendo gerados, novos dashboards, custos...

Sinceramente, no final de tudo acabamos vivendo uma mudança abrupta de comportamento, os quais mostraram para todos que somos capazes de mudar para melhor. A Segurança das Informações acabou vindo a tona de forma mais implícita e, vista por todos. As pessoas tiveram que entender que não podem dar bobeira em coisas que antes não se dava tanta atenção então, a atenção acabou sendo redobrada. O hacker passou a ser visto como um profissional, um pesquisador. Sim. Grandes meios de comunicação ainda citam "hackers roubaram isso ou aquilo..." mas, em outras manchetes já aparecem "criminosos virtuais", "criminosos digitais".. Eu mesmo já dei várias entrevistas para grandes meios de comunicação falando sobre carreira de Cyber Security e hacking e, todas com uma repercussão muito boa. Acho que para muitas pessoas, foi novidade que empresas como Bradesco, Itaú, Google, Microsoft, IBM, Santander possuem os chamados Hackers Éticos dentro de suas "casas" e, participam de eventos sobre o tema, em busca de profissionais e novos talentos.

 Ah mas foram poucas as pessoas que se conscientizaram!!! Não importa!!! Foram pessoas que foram atingidas com informações que podem ajudar a elas mesmas. A Segurança faz parte do nosso dia a dia e não podemos levar ela de forma tão imatura. Talvez tenhamos saído de forma rápida da infância para a adolescência, quando falamos da Segurança da Informação.

 O lado mais negativo é que o tema virou matéria de grandes jornais e apareceram vários novos "pensadores do amanhã" que nem sequer sabem o real conceito do tema mas... Ganharam ouvidos com pensamentos limitados. Mas mesmo assim ainda o tema foi colocado em pauta e a tona para discussão.

 E o chamado novo normal? Como será daqui pra frente? Abaixo eu coloco as minhas considerações sobre o que estou vendo quando falamos de Segurança da Informação e Hacking. Vamos lá:

Funcionários

• Passarão a ter suas jornadas de Home Office ampliadas e, muitos somente irão em reuniões importantes. Demais atividades serão feitas como estão sendo feitas em 2020, de forma remota
• A conscientização sobre a Segurança da Informação deverá ser constante, tanto por parte da Empresa como por parte do próprio funcionário
• O Funcionário deverá estar sempre atento e ciente dos riscos que envolvem as informações
• Apesar de estarem mais preparados, a atualização deverá ser constante

Empresas

• Terão que ampliar espaços livres e reduzir muitas das chamadas "mesas compartilhadas"
• Muitos funcionários serão destinados ao modelo de Home Office
• Novos custos foram associados a Segurança da Informação como MDM (Gerenciamento de Dispositivos), VPN (Virtual Private Network), Autenticação Forte
• Terão que manter programas de Conscientização da Segurança em constante evolução e atualização

 Muitas são as preocupações de ambas as partes mas uma delas é certa, teremos que se preocupar mais e mais com a segurança dos nossos dados.

 LGPD entrando em vigor, ataques aumentando a cada mês, novos modelos de phishing para todos os mercados possíveis e muita novidade diária divulgadas com maior ênfase em sites de notícias e mídias em massa. Tudo isso contribui para o aumento das nossas preocupações e, para ficarmos mais espertos com as nossas informações.