Dívida de segurança por que você deve prestar atenção?

Basicamente, como já vimos em outros artigos no nosso blog, a dívida técnica é um termo popular na indústria de software. Criada pelo programador Ward Cunningham, a expressão é uma metáfora que explica os encargos de longo prazo que as equipes de software incorrem ao tomar atalhos no projeto de desenvolvimento de aplicativos.

O conceito de dívida técnica originalmente surgiu na área de desenvolvimento de software, se estendeu para infraestrutura de TI e agora chega até à segurança da informação. Um resumo que explica bem a ideia por trás deste conceito pode ser entendida da seguinte forma:

A dívida de segurança é uma variante da dívida técnica que ocorre quando as organizações não investem recursos suficientes em benefício da segurança, proteção e privacidade de dados de forma ativa.

O termo compara as pressões da dívida monetária com os encargos de longo prazo que os times de tecnologia enfrentam quando atalhos de segurança são tomados.

Como uma dívida financeira, a dívida técnica e de segurança incorre em pagamentos de juros, que vêm na forma do esforço extra que temos que fazer no desenvolvimento futuro por causa das escolhas que foram feitas logo no início do projeto.

Dívida de segurança: um novo termo que surge, demonstrando o risco à proteção e privacidade de dados

Enquanto o termo dívida técnica se tornou comum tanto na área de desenvolvimento de software quanto na infraestrutura de TI, as notícias que temos sobre incidentes de segurança reforça o impacto do termo dívida de segurança.

Ao longo dos últimos anos, inúmeras empresas foram alvo de ataques hackers ou envolveram-se em polêmicas com roubo de dados. Em muitos casos, brechas no sistema de segurança de sites e na infraestrutura de suporte causando violações de dados que resultaram em graves incidentes de segurança.

Para se ter uma ideia, de acordo com os dados apresentados na pesquisa “Cost of a Data Breach”, realizada pela IBM em parceria com o Instituto Ponemon, avaliando mais de 500 empresas em 2019 (35 somente no Brasil), mostrou que a cada incidente ocorrido em nosso país, 26.523 registros foram vazados. O Brasil fica atrás apenas para o Oriente Médio, Índia e EUA.

Além disso, o Brasil é considerado um dos principais alvos de ataques virtuais no planeta. É o que diz o relatório da Fortinet que apontou que o país sofreu 15 bilhões de ataques somente em três meses de 2019.

Você não precisa procurar muito para encontrar empresas de destaque no Brasil que enfrentaram vulnerabilidades:

  • A empresa Tivit teve um vazamento de informações de diversos clientes de grande, porte tais como: Klabin, Brookfield, JMacedo, Votorantin, entre outros. Entre os dados roubados continham credenciais de acessos que forneceram informações estratégicas, incluindo rotinas de backup, cópias e transferências de arquivos, endereços e servidores e demais dados críticos da operação.

  • A Netshoes sofreu um ataque cibernético nas operações no Brasil, que resultou na divulgação de dados de 2 milhões de clientes e teve como consequência uma multa de R$500 mil pelo vazamento.

  • A equipe do site TecMundo recebeu um manifesto composto de 18 páginas, assinado por um hacker chamado “John” que detalhou o acesso à dados do Banco Inter. As informações consistiram em fotos de cheques, documentos, transações, e-mails, informações pessoais, chaves de segurança e senhas de aproximadamente 100 mil pessoas.

Os fatores que causam o acúmulo de dívidas de segurança incluem, por exemplo, procedimentos inadequados de testes de segurança e infraestrutura tecnológica vulnerável, como patches de correção perdidos ou contas abandonadas em nível administrativo, entre outros exemplos.

Além disso, outros fatores importantes podem incluir riscos que foram descobertos mas nunca resolvidos. Manter um controle rígido dos riscos ajuda as organizações a rastrear problemas que podem ocorrer, ficar ciente dos principais problemas que afetam a empresa e definir prioridades para resolvê-los.

A dívida de segurança expõe sua empresa as penalidades da LGPD

Atualmente quando se trata de temas como incidentes de segurança, roubo de dados e perda de privacidade, nós associamos diretamente aos requisitos da Lei Geral de Proteção de Dados (LGPD), promulgada em 2018 e que entra em vigor em 2020.

A dívida de segurança pode resultar em multas pesadas devido a falta de conformidade com a lei de proteção e privacidade de dados, além de ampliar os danos à marca. A probabilidade de violação aos requisitos aumenta na mesma proporção que o risco relacionado a dívida de segurança é ampliado.

Portanto, desenvolver e implementar políticas e procedimentos voltados a correção das dívidas de segurança, em toda a infraestrutura tecnológica da organização, ajuda as empresas a conter violações e roubo de dados e a manter a conformidade com as legislações existentes no país, a exemplo da LGPD.

Como as empresas devem lidar com as dívidas de segurança?

Cada vez mais os dados estão se tornando um dos ativos mais valiosos que as empresas têm, tornando a proteção de dados mais crítica do que antes.

É o que mostra o estudo da Dell “Dell EMC Global Data Protection Index”, pesquisa com 2.200 tomadores de decisões em 18 países sobre a maturidade de suas estratégias de proteção de dados e avaliou a preparação de seus negócios.

  • 95% das organizações dos respondentes enfrentam pelo menos um desafio em relação à proteção de dados
  • Apenas 37% estão muito confiantes de que sua organização está atendendo aos seus requisitos de backup e recuperação
  • Somente 35% são muito confiantes de que sua infraestrutura de proteção de dados está em conformidade com as legislações atuais
  • Apenas 16% acreditam que suas soluções atuais de proteção de dados serão capazes de atender a todos os futuros desafios de negócios

Como podemos ver, a maioria das empresas está despreparada com relação à proteção de dados. Logo, os usuários têm um risco imenso a partir do momento em que as empresas não tomam os cuidados de segurança necessários para o mundo conectado de hoje, colocando em risco todos os seus esforços de conformidade com a LGPD e criando dívidas de segurança.

Por isso, é essencial resolver as vulnerabilidades existentes, que incluem por exemplo, procedimentos inadequados de testes de segurança, a ausência da instalação de patches de correção ou contas abandonadas em nível administrativo.

A extensão do impacto da dívida de segurança é enorme

Além dos custos relacionados a correção de aplicativos ou de uma infraestrutura que cresce sem a preocupação com a segurança, as empresas que sofrem problemas de propriedade intelectual roubada pagam ainda mais caro.

Os custos relacionados aos danos à reputação, ações regulatórias, perda de contratos e até mesmo ações de indivíduos impactados pelos incidentes de segurança, são dívidas difíceis de mensurar.

Com muita frequência, empresas crescem suas dívidas de segurança em vez de corrigi-las no curto prazo. Como destacado acima, correções na infraestrutura e aplicativos, testes adequados e conscientização organizacional podem custar muito menos dinheiro que as ações para resolver os impactos causados após o vazamento ou perda de dados.

Na correção da dívida de segurança é preciso analisá-la na perspectiva do controle de riscos

Para reduzir a dívida de segurança, os profissionais de tecnologia devem incluir o levantamento de riscos e testes de segurança como parte de seu ciclo de vida de projetos de desenvolvimento e infraestrutura, aplicando as correções sempre que possível.

Além de políticas e processos visando a segurança, proteção e privacidade de dados, as empresas precisam de um processo de gerenciamento de patches bem estruturado que normalmente envolve a equipe de operações ou infraestrutura de TI cuidando da manutenção.

As organizações precisam estar cientes da gravidade das dívidas de segurança e de como as vulnerabilidades podem se acumular. Há um risco enorme ao economizar na correção das dívidas de segurança. E como você viu, os resultados negativos podem incluir riscos de reputação, regulamentação, reparo e propriedade intelectual.

Sobre a NETCENTER

Seja para atender melhor seus clientes, aumentar a produtividade ou transformar o seu modelo de negócio, hoje a tecnologia da informação é um fator relevante para o sucesso de qualquer organização.

A NETCENTER é uma empresa especializada em soluções gerenciadas TI para transformação de infraestrutura e proteção de ativos digitais. Apoiada na sua parceria com os principais players de tecnologia do mercado, somado aos seus 25 anos de experiência na entrega de soluções e serviços, capacitamos as empresas a:

  • Executar suas aplicações de negócio.
  • Melhorar sua a eficiência operacional.
  • Proteger seus ativos digitais.

DEFINA, IMPLEMENTE, GERENCIE e PROTEJA. Conte com a NETCENTER.

Quer saber mais? Entre em contato conosco.