Por Leonardo Goldim
Tudo começa nos anos de 2013-2014, quando a XP Investimentos sofre um ataque de criminosos virtuais, que conseguem roubar dados e informações sigilosas de clientes, colaboradores e demais pessoas ligadas a empresa. De posse dos dados, os criminosos desviaram R$ 500 mil de clientes da XP, reembolsados pela empresa (prejuízo XP = R$ 500 mil).
Final de 2016, dois anos após o ocorrido, os criminosos voltaram pedindo dinheiro (R$ 22 milhões) para a empresa. em troca de não divulgar as informações e não cometer mais fraudes utilizando os dados coletados. Como não foram ouvidos pela empresa, que pretendia manter o caso em sigilo, os criminosos optaram por entrar em contato diretamente com os clientes afetados.
Analisando as consequências do caso, podemos perceber que o impacto da falta de segurança pode ser, entre outros:
- Financeiro: R$ 500 mil de prejuízo, até o momento, e;
- Imagem: imagem e reputação da empresa que fica manchada (especialmente para uma empresa que pretendia fazer IPO em 2017).
Também é possível ver que, apenas um incidente de segurança, pode nos trazer dor de cabeça por um longo tempo, se não for bem administrado e gerenciado.
Um dos pontos que chama atenção é a demora para identificar o incidente inicial (ataque a base de dados). O ataque ocorreu ao longo de 2013-2014, apresentando uma janela de dois anos sem ser identificada a atividade suspeita nos sistemas, que resultou em um vazamento de dados de cerca de 29 mil clientes.
Com uma gestão pró ativa, trabalhando segurança de forma preventiva, seria possível diminuir o tempo de duração do ataque, diminuindo a quantidade de informações vazadas e o impacto sofrido pela empresa.
Outro ponto que precisa ser considerado, e que muitas empresas negligenciam, é o gerenciamento de incidentes de segurança. Apenas identificar um incidente não é suficiente, é necessário todo um processo gerencial para identificar e parar o vazamento, além de identificar o motivo que tornou o incidente possível e efetuar as correções necessárias para e evitar novos problemas.
Os danos a imagem da empresa são os mais difíceis de serem mensurados, mas podem ser amenizados com um bom processo de gerenciamento de crise e uma boa comunicação por parte da empresa.
Devemos lembrar que a qualidade da segurança da nossa empresa se mede pelo elo mais fraco da cadeia. Não adianta termos a melhor tecnologia para firewall de borda, se não temos um processo para monitorar esse firewall. Não adianta termos a melhor solução de DLP (prevenção de vazamento de dados), se não temos uma política de classificação da informação bem definida, muito menos se não houver um monitoramento constante da solução. Investir em tecnologia, sem investir em processo e capacitação, é desperdício de recursos.
Sobre Leonardo Goldim:
Empresário, coach e consultor em Segurança da Informação e Compliance. Possui mais de dez anos de experiência em Gestão de TI e Segurança da Informação, especialista em Cloud Computing. Goldim é colaborador e palestrante nos principais eventos de Segurança da Informação e um dos responsáveis pelo amadurecimento do tema.
Atualmente é CEO do IT2S Group, fundador e atual Diretor do Chapter Brasileiro da CSA e membro do Certification Board da CSA US, onde colaborou no desenvolvimento das certificações CCSK e CCSP. É colaborador ativo de diversos grupos de trabalho da CSA US, onde colabora para o amadurecimento das melhores práticas em cloud security, além de membro do Comitê CB21/CE27 (Segurança da Informação), CB21/CE38 (Computação em Nuvem) e CEE139 (Controle e Combate a Fraude) da ABNT, representante da ISO/IEC no Brasil, e membro da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia da OAB/SP.
Quer uma dica?
Faça parte do principal encontro da comunidade de inovação e tecnologia em crédito no dia 01 de novembro em São Paulo. Saiba mais clicando aqui ou acessando http://credtech.conexaofintech.com.br/
Aproveite o desconto de 15% para nossos leitores por tempo limitado. Use o código conexaofintech ou clique aqui e garanta sua vaga.
