Segurança nas agências passa pela criação de nova cultura
O fluxo de trabalho nas agências de publicidade inclui o envio e o recebimento constantes de arquivos para clientes e fornecedores, em uma rotina que não está restrita ao ambiente corporativo. Com as facilidades da mobilidade, uma cafeteria, praia ou qualquer local com internet pode se tornar um escritório, aumentando os caminhos por onde circulam informações sigilosas.
Nos últimos anos, o investimento em segurança digital vem ganhando espaço no budget das empresas, mas está longe do ideal. Segundo o relatório Cisco 2017 Midyear Cybersecurity Report, levantamento global sobre as principais ameaças e tendências sobre segurança das empresas, divulgado na semana passada, apenas 40% das companhias de pequeno e médio porte contam com sistemas de defesa para perda de dados, por exemplo, enquanto 34% detêm segurança para e-mails e mensagens internas.
Nesta quarta-feira (26), a Cisco revelará informações sobre o mercado brasileiro, mas os dados iniciais da pesquisa indicam que o cenário não é muito diferente. No país, apenas 35,4% dos incidentes legítimos que ameaçam a segurança são remediados em empresas de pequeno e médio porte.
Ghassan Dreibi é gerente regional de segurança da Cisco
Na indústria da comunicação, o mercado passou a observar com lupa o assunto, principalmente, após agências de publicidade do Grupo WPP terem sido diretamente afetadas pelo malware Petya, em junho. O ciberataque é uma evolução do WannaCry, que afetou mais de 100 países, no mês anterior, invadindo o sistema das empresas de diversos segmentos, criptografando os arquivos de seus computadores e exigindo pagamento para decodificá-los.
Passado o susto, o momento é de reorganização dos sistemas internos de segurança e atenção redobrada às possíveis vulnerabilidades. Segundo Ghassan Dreibi, gerente regional de segurança da Cisco, a proteção contra ataques de hackers nas agências passa pela criação de novas culturas e hábitos de consumo de internet. “Cada vez mais as pessoas trabalham em casa ou em cafés, e as empresas não perceberam que isso implica em outro desafio de segurança”, explica o executivo.
Não à toa, problemas no compartilhamento de dados em cloud e no mobile foram enumerados por 59% dos profissionais de segurança como os mais desafiadores na proteção contra ataques.
Fora da agência, os funcionários precisam acessar os arquivos de alguma maneira, e isso nem sempre ocorre de forma mais segura. Segundo Dreibi, a utilização de nuvens não corporativas, como iCloud, Evernote e Dropbox, ou ainda, aplicativos de mensagens pessoais, como WhatsApp, são as formas mais populares nas agências, e as mais perigosas, porque não só comprometem a proteção de dados, como deixam as empresas sem controle das informações que entram e saem de sua rede.
“É comum o uso do celular para o trabalho. Quando você quer fazer o envio de um arquivo, usa o WhatsApp ou qualquer outra ferramenta de comunicação pública. As pessoas transferem arquivos do desktop para o tablet ou para o iPhone usando ferramentas que são simples. Mandam e-mails com anexo, só que o e-mail não é encriptado, facilmente se captura essa informação. A forma como o ambiente publicitário trabalha ainda é muito informal”.
Proteção em rede
Plugadas no sistema de segurança de sua matriz, no exterior, garantindo monitoramento e proteção à sua rede interna, as principais agências de publicidade no Brasil devem estabelecer modelos próprios de cultura digital, na opinião de analistas de segurança. Segundo Marcelo Toniolo, professor do MBA de Gestão de Risco e Compliance da Fecap (Fundação Escola de Comércio Álvares Penteado), a centralização da entrada e saída de informações no âmbito global pode trazer benefícios, como a atualização dos sistemas de segurança de forma massiva, rápida e eficiente, além do monitoramento do tráfego de dados e de possíveis ataques, mas devido a peculiaridades de cada país, é importante que as agências mantenham estrutura localmente. “A criação dessa rede interna global precisa ser muito bem orquestrada, além de serem necessárias estruturas locais mínimas, pois em alguns casos, a intervenção física nos equipamentos locais é insubstituível”.
Marcelo Toniolo, do MBA de Gestão de Risco da Fecap
Dreibi, da Cisco, concorda com o colega, explicando que mesmo que os grupos de comunicação internacionais sejam bem estruturados, suas agências de publicidade regionais precisam ter ferramentas próprias de back-up para gravação de dados corporativos e, preferencialmente, mantenham os arquivos fora da rede. “Por que não utilizar uma cloud corporativa terceirizada, onde o nível de segurança é muito maior? Pensar em fazer back-up externo facilitaria muito a vida, mesmo porque lá fora o cenário é outro”, afirma Dreibi.
Todos concordam também que tão importante quanto a implementação de tecnologias capazes de manter os sistemas atualizados é lidar com o fator humano. Criar treinamentos com orientações simples e diretas aos funcionários sobre as possíveis vulnerabilidades reduz os problemas de segurança consideravelmente, principalmente, porque muitos tomam certas atitudes sem sequer saber que estão criando um ambiente vulnerável. “Alguém que trabalha contra o tempo para terminar uma campanha e, para conseguir cumprir o prazo, decide trabalhar no fim de semana, e envia o arquivo para o seu e-mail pessoal, sem utilizar qualquer tipo de proteção, pode colocar a empresa e o cliente em risco”, ressalta Toniolo.
Outros casos comuns estão ligados ao download de aplicativos sem saber detalhes sobre seu desenvolvedor, ou fornecer dados pessoais em cadastros virtuais, facilitando o roubo de informações de identidade do usuário. “Nem todo mundo é técnico e entende desse mundo complicado. O ideal é que você crie políticas de segurança que sejam transparentes para seus usuários, além de formas de transferir essas informações sem ser técnico”, defende Dreibi.
No grupo de situações que ampliam a vulnerabilidade de segurança está o chamado phishing, mensagens maliciosas que podem ser enviadas por e-mail ou aplicativos de mensagens com o intuito de enganar o usuário e fazer com ele clique em um link ou instale um programa que vai infectar toda a rede.
“A integração de uma gestão mais eficiente e segura dos arquivos com regras básicas de segurança, como criptografia de arquivos, e regras para utilização de dispositivos externos, como pen drivers, HD externos, bluetooth, backups seguros e constantes, podem auxiliar na prevenção do vazamento de informações”, orienta Toniolo.
Para Bruno Prado, CEO da UPX Technologies, a falta de conhecimento sobre segurança é reflexo do pouco investimento das empresas no assunto. “O cargo de CSO, executivo de segurança, nas empresas, é relativamente novo. Está começando a ser adotado. O budget para essa finalidade também está ganhando incremento agora. Antes, segurança ficava no guarda-chuva do TI, mas o profissional que faz a proteção dos sistemas tem outro perfil”.
Em um cenário em que as ameaças surgem a cada segundo, tornando impossível a missão de criar uma vacina com a mesma rapidez, blindar-se em todas as frentes e investir no monitoramento constante são a chave, algo que está longe de muitas empresas na indústria da comunicação, como salienta Dreibi, da Cisco. “Pelo volume de investimento no setor, as empresas ainda não acordaram para esse momento. E acho que é bastante grave. Estão perdendo dados hoje e não sabem para onde essas informações estão indo. Elas não estão seguras quanto às novas ameaças”.