Saiba mais sobre A Disciplina de Segurança Cibernética!

Historinha

Num passado não muito distante, as operadoras no Brasil fecharam a porta 25/tcp dos serviços de e-mail para conexões de clientes, principalmente, adotando medidas para autenticação obrigatória dos usuários pelas portas 587/tcp e/ou 465/tcp, dentre outras possíveis. Esta foi uma das várias medidas que tomamos (todos, de forma geral) para evitar uso incorreto e inseguro de ferramentas de tecnologia para execução de um trabalho ou simples navegação mais íntegra e confiável em nosso cotidiano.
Este pequeno artigo vai abordar alguns pontos relacionados à “Cyber Security”, disciplina que existe desde o início da Internet e que agora, mais do que nunca, vem ganhando espaço e atenção de todos, principalmente de organizações que prometem segurança como uma das “commodities” pela contratação de seus serviços.

Serviços seguros e inseguros

Fechar a porta 25/tcp foi, no passado, uma grande mudança do ponto de vista de muitos usuários, pois o uso do e-mail era algo simples e nem nos parecia haver outra maneira de lidar com este serviço. Pois bem! Mudou! Agora, usuários, empresas, organizações, têm de orientar e serem orientados quanto a isso, ainda hoje, pois gera dúvidas até mesmo para os clientes que conhecem um pouco de tecnologia. Imagine para quem é de uma outra área e não possui tanta afinidade! Mas vamos mudar o disco…
Imagine agora, acessar um site na Internet. Simples, correto? Basta digitar o endereço desejado e pronto, “nasce” o site em nossa tela. Mágico. Mas o site é seguro? Posso inserir minhas informações lá com a certeza de que não cairão em mãos erradas? Ihhhh!!!!

Assim como no e-mail, os vários outros serviços de tecnologia possuem versões seguras e inseguras e usuários comuns (clientes de serviços diversos) muitas vezes não sabem fazer a distinção entre os protocolos que podem ou não impedir que sejam vítimas acidentais ou propositais nesta selva de cabos, redes wi-fi e dispositivos de IoT (Internet das Coisas).

Somos todos usuários, então, vamos tentar esclarecer e orientar, assumindo nosso papel educativo e informacional!

Criando um cenário de estudos

Imagine que estou buscando fugir das taxas cobradas pelos bancos tradicionais, que muitas vezes, parecem absurdas! Qual seria uma atitude razoável? Ora… posso buscar um banco totalmente digital, um segmento de mercado que me parece promissor, principalmente com as promessas (que são realmente cumpridas, até agora) de isenção de mensalidades e de taxas de transações básicas como DOC e TED. Ok. Me agradou. Como faço? Vou acessar o site.
Não sei o endereço! Mas é um banco com um nome conhecido… vamos tentar.

bancointer.com.br
nubank.com.br

Os exemplos (e apenas para amostragem) de nomes acima foram testados em acesso e tiveram bons resultados nesta etapa. Qual etapa mesmo? Consegui acessar o site digitando os endereços acima e fui direcionado para a página das instituições. Vejamos…

Bacana. Vamos ao próximo!

Ótimo!

Podemos perceber um cadeado ao lado esquerdo do endereço do site. Significa que a empresa, ao menos no site aberto ao público, utiliza um protocolo seguro para a privacidade da minha conexão. Bom, é o que sugere a imagem com a fechadura digital, segurança!

Se clicarmos no cadeado, teremos uma série de informações técnicas sobre e emissão e veracidade do certificado e podem surgir outras dúvidas, mas certamente haverá respostas e chegaremos às conclusões devidas para enfim, decidirmos prosseguir o uso ou não. Não vem ao caso explorar esse tema ainda mais neste momento. Porém, um outro teste foi realizado para este artigo e olha o resultado:

antheus.com.br

Infelizmente não tivemos a mesma sorte como nos endereços anteriores. O que minha tela me mostra é que o site não é seguro. Mas a escolha deste não foi por acaso, foi para avançarmos em uma problemática: vazamento de dados ou “data leaks”.

Novamente, é preciso pontual que este artigo não tem intensão acusatória ou ainda, promoção de marketing negativo, mas educacional, informativo, pois a disciplina de Segurança Cibernética é um bem comum se bem empregada, e um mal comum no caso contrário.

Que empresa é essa? Existe uma frase presente no site no link “Sobre nós”, que pode nos ajudar a conhecê-la um pouco: ”A Antheus é a primeira empresa brasileira, certificada pelo FBI, que desenvolve soluções biométricas com tecnologia 100% nacional.”

Em um artigo do site IT Governance, do Reino Unido, que pode ser acessado por este link, há uma lista de vazamento de dados de organizações de várias partes do mundo e o que envolve a empresa acima está na lista. Se procurar bem, o vazamento de dados foi passível de falha de uma tecnologia que vem ganhando espaço no mundo de banco de dados, o elasticsearch. Falha humana, tecnológica, processual? Não importa muito agora que 16TB de dados de brasileiros, incluindo dados biométricos que, pela Lei Geral de Proteção de Dados (LGPD), são considerados sensíveis e se Lei 13.709/2018 estivesse em vigor, a ANPD (Autoridade Nacional de Proteção de Dados), que ainda não foi criada efetivamente pelo governo, certamente aplicaria uma sanção administrativa conforme entendimento do contexto. O artigo pode ser lido neste link.

E por falar em LGPD, é preciso também ressaltar que, embora a Lei tenha sido prorrogada até então para Maio de 2021, temos visto muito movimento de profissionais buscando conhecimento para atender às demandas emergentes sobre o tema Privacidade e Proteção de Dados, disciplina diretamente relacionada à Segurança Cibernética, tema deste artigo. Registro também o movimento crescente de empresas que, por estes mesmos profissionais, já iniciam seu processo de compliance e isso é um ato louvável, embora tardio. Todos estamos tardando.

Ninguém está livre de erros

Exato. Não há sistema 100% seguro. O elo fraco, dizem literaturas escritas por diversos especialistas no tema, tende a ser o usuário final, o cliente, mas uma empresa é feita de pessoas e logo…

O Banco Inter, nosso “caso de sucesso” acima, também já sofreu com vazamento de dados, conforme pode ser lido em diversos artigos disponíveis na Internet, como este aqui.

O mesmo acontece com o NuBank, nosso outro “caso de sucesso”. Confira o artigo aqui.

Mas não são apenas os bancos digitais. Vejamos este artigo fresquinho sobre o envolvimento do Banco do Brasil em um vazamento de dados pessoais.

Novamente, ninguém está livre de erros e um dia, se a Segurança Cibernética e da Informação continuar sendo negligenciada pelas empresas e organizações (e pessoas), todos terão um “caso de sucesso” em algum artigo por aí.

Conclusão

A Associação Brasileira de Segurança Cibernética é algo novo, com data de início de suas atividades em 2 de Abril de 2020, e já nos traz alguns números bem interessantes, como pode ser conferido neste link. Trata-se de, até o momento da escrita deste artigo, um déficit de 142.785 profissionais de Segurança Cibernética no mercado brasileiro, contra apenas 4 instituições de ensino superior com cursos de Graduação nesta temática. Temos de evoluir, não é!?!?!

Para saber mais sobre treinamentos, capacitações, certificações: https://bit.ly/3bgyo2r

Nota: Não foi intuito do artigo sobre a Disciplina de Segurança Cibernética fazer qualquer exposição de pessoas, empresas ou organizações, sejam quais forem. Todo o conteúdo do artigo colabora para um contexto informacional, promovendo conscientização de todos os interessados pelo tema e, todas as informações citadas estão disponíveis na Internet, fontes públicas e de conhecimento comum de vários leitores.

Paulo R.  Deolindo Jr.

Paulo R. Deolindo Jr.

Zabbix Trainer

Graduado em Tecnologia da Informação, Pós-graduado em Produção e Sistemas IFF – Instituto Federal de Educação, Ciência e Tecnologia Fluminense e pós-graduado pela Unisul (PR) no curso de Gestão de Projetos de Tecnologia da Informação. Atua confeccionando e ministrando treinamentos com foco em tecnologias Open Source, como Zabbix, Zimbra, Bacula, Gestão e Segurança em Servidores Linux, dentre outras.

 

  • [2017] – Linux Professional Institude Certified
  • [2014] – Zabbix Certified Professional
  • [2014] – Zabbix Certified Specialist
  • [2013] – Zimbra Collaboration Suite