Um usuário mais antigo da internet facilmente se lembrará daquele e-mail: “as fotos da festa ficaram ótimas”. A mensagem direcionava para um link, que levava a pessoa para um arquivo malicioso. Esse talvez seja o phishing mais conhecido da web
Para os que não conhecem, o termo define o e-mail com conteúdo que tem como objetivo enganar o usuário e influenciá-lo a tomar uma ação – morder a isca. De acordo com o relatório State Of Cybersecurity 2018 da ISACA, um dos vetores de ataque mais comuns é o phishing, representando 44% das ameaças, seguido da engenharia social (manipulação de pessoas com o objetivo de obter informações) com 28%.
Segundo o gerente de tecnologia da Saque e Pague, Gustavo Krowczuk, hoje há uma preocupação maior com a proteção dos dados pessoais dos colaboradores e não apenas com os dados da empresa, que tradicionalmente são o foco dos investimentos. Isso inclui fatores como a segurança dos e-mails pessoais e proteção de dispositivos móveis, como notebooks e smartphones, que eventualmente poderão estar conectados em um ambiente corporativo.
“Vivemos em um ecossistema extremamente conectado, o que acaba sendo uma porta de entrada para o criminoso explorar a empresa. Temos uma preocupação muito grande com a diversidade das ameaças. Vale citar o uso de serviços de armazenamento em nuvem, webmail e o uso de aplicativos não homologados pela empresa, por exemplo, que acabam sendo um caminho para os criminosos”, pontua.
Vivemos em um ecossistema extremamente conectado, o que acaba sendo uma porta de entrada para o criminoso explorar a empresa. Temos uma preocupação muito grande com a diversidade das ameaças. Vale citar o uso de serviços de armazenamento em nuvem, webmail e o uso de aplicativos não homologados pela empresa, por exemplo, que acabam sendo um caminho para os criminosos.
Na questão da segurança digital, a Saque e Pague trabalha hoje com um conceito de proteção em camadas, que consiste em colocar barreiras que impeçam um ataque à plataforma da empresa. Ao todo, são três pilares que compõem essas camadas: o primeiro é a criação de parcerias estratégicas com os melhores players de mercado, adotando soluções e ferramentas já consolidadas, assim como novidades tecnológicas; o segundo pilar está baseado em pessoas altamente especializadas nos mais variados setores da segurança (prevenção, investigação, análise de código e etc.), que estão sempre em desenvolvimento contínuo, buscando novas soluções para a empresa e colaborando no crescimento de maturidade da equipe; e o terceiro, e não menos importante, é o treinamento e a conscientização, principal foco para o próximo ano.
“Queremos fazer um trabalho muito maior no pilar de capacitação em 2020. Hoje, as nossas camadas de proteção externas são muito fortalecidas, porém nós temos que dar uma atenção maior para o nosso pessoal. Então vamos trabalhar com um conceito de treinamento 360°, que aborda desde o presidente da companhia até aquele visitante que vai passar um dia ou dois conosco”, explica.
De acordo com Krowczuk, até pouco tempo atrás, quando falávamos de crime cibernético, a primeira coisa que vinha em mente era o número do cartão de crédito ou os dados de uma conta bancária. Hoje, entretanto, há uma transformação neste tipo de crime, que conta com uma estrutura cada vez mais organizada e diversificada. “Precisamos cuidar de todo o tipo de informação, como contas de pagamento online, sites de compras, aplicativos de relacionamento, redes sociais, etc., sendo ainda o ganho financeiro o principal motivador dos criminosos.”
Uma pesquisa da Verizon Data Breach Investigation Report, de 2017, apontou que 80% dos ataques cibernéticos poderiam ser evitados por meio de um simples fortalecimento de senhas e instalação de patches de atualização. Já em 2019, a Saque e Pague iniciou um trabalho de conscientização e proteção ao usuário, para reforçar como cada um pode evitar uma ofensiva à empresa. O ano de 2020 deve ser marcado por um período de adequação por causa da Lei Geral de Proteção de Dados (LGPD), que poderá resultar em multas de até R$ 50 milhões a empresas que tiverem dados de seus clientes vazados, seja por negligência, ou porque foram vítimas de um ataque virtual.