SEGURANÇA
68 – RTI – NOV 2022
Marcelo Bezerra
Outubro – Mês da segurança
O mês de outubro é conhecido há anos como “Outubro Rosa”, para conscientização e prevenção de dois tipos de câncer: colo do útero e de mama. Mas o período também engloba uma campanha desconhecida para a maior parte da população: a conscientização sobre segurança cibernética. Na verdade, a campanha é norte-americana, mas aos poucos está sendo adotada no Brasil por fornecedores de origem norteamericana e profissionais que acham uma boa ideia uma iniciativa voltada a aumentar o conhecimento e a conscientização sobre segurança digital. Nos Estados Unidos, a campanha teve início em 2004, e sua origem mostra o envolvimento das autoridades americanas no tema, tendo como patrocinadores a Presidência da República e o Congresso. A execução é feita pelas agências de Segurança Cibernética e Segurança da Infraestrutura – The Cybersecurity and Infrastructure Security Agency (CISA) – e da Aliança Nacional de Segurança Cibernética – National Cybersecurity Alliance (NCA). Entre os objetivos de ambas está promovê-la internacionalmente. O tema da campanha este ano foi o indivíduo: “See Yourself in Cyber”, ou, em tradução livre, “Veja você mesmo na Cibernética”. A palavra “Cyber” em inglês acabou sendo associada à segurança, e se tornou um diminutivo para cybersecurity. Os
Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.
alvos foram amplos, atingindo toda a sociedade, dos usuários às empresas, passando pelos profissionais da área. Sobretudo para os indivíduos, a mensagem foi muito forte: que as pessoas devem se tornar protagonistas da segurança digital e não meros espectadores passivos. A campanha focalizou em quatro ações, de acordo com o exposto no site do CISA: • Pense antes de clicar: reconheça e denuncie phishing - Se um link parecer um pouco estranho, pense antes de clicar. Pode ser uma tentativa de obter informações confidenciais ou instalar malwares. • Atualize seu software: Não demore - Se você vir uma notificação de atualização de software, aja imediatamente. Melhor ainda, ative as atualizações automáticas. • Trabalhe com senhas fortes, longas, exclusivas e geradas aleatoriamente - Utilize gerenciadores de senhas para gerar e lembrar senhas diferentes e complexas para cada uma de suas contas. Um gerenciador de senhas irá criptografar senhas e protegê-las. • Habilite a autenticação multifator - É preciso mais do que uma senha para proteger contas online, e habilitar a MFA – Multi-Factor Authentication diminui significativamente a probabilidade de uma invasão. Todas as ações acima fariam com certeza parte de qualquer campanha corporativa de conscientização, e tratam o usuário comum, o indivíduo, como alguém que pode tomar o controle do cuidado com seus dados e informações. É um pouco diferente da abordagem de que segurança deveria ser algo totalmente transparente para o usuário final. Mesmo que o software utilizado tenha uma alta eficiência em bloqueio de tráfego malicioso, por exemplo, no bloqueio de phishing, não se pode garantir 100% de efetividade, e sempre haverá uma situação em que
o sucesso da intrusão estará nas mãos do usuário final. Já do lado das empresas, a convocação da campanha é que se tornem “parte da solução”, nas palavras do CISA. Em outros termos, se vejam como atores importantes para a defesa da infraestrutura do país. Aqui no Brasil, o Congresso está longe de liderar medidas de defesa cibernética, mas o GSI - Gabinete de Segurança Institucional, órgão da Presidência da República, atua na estruturação de um ecossistema nacional, o que inclui a proteção da infraestrutura crítica nacional, definida como as áreas de defesa, nuclear, transporte, comunicações, financeiro, águas e energia. Desde o início, as autoridades brasileiras entenderam que a proteção não ocorreria sem a participação das empresas que atuam nos segmentos, e investiram na integração delas com o setor militar, via os exercícios anuais Guardião Cibernético, organizados pelo COMDCIBER – Comando de Defesa Cibernética do Exército Brasileiro. Eu não vejo como no futuro não atingir ou manter níveis seguros de uso da tecnologia sem o protagonismo individual. O crime se ajusta às mudanças tecnológicas com velocidade e flexibilidade. O grande exemplo é o roubo de aparelhos celulares para acesso aos aplicativos bancários, e consequente desvio de valores. Enquanto as autoridades policiais e a própria indústria financeira procuram meios de lidar com o problema, são os indivíduos que têm que se adaptar para que o celular, uma vez roubado ou furtado, não seja usado para tal. O nível de cultura e conhecimento das pessoas também está aumentando, e as novas gerações começam a vida adulta totalmente integradas e confortáveis com a tecnologia. Podem perfeitamente ter o protagonismo da sua segurança pessoal, como, aliás, ocorre com a proteção física.
