Colaboradores são principal pilar de segurança da informação na Uninter
Autor: Nayara Rosolen - JornalistaEm um mundo globalizado, digitalizado e tomado por uma infinidade de informações processadas por segundo, os dados valem ouro. E as empresas têm investido cada vez mais na área de segurança da informação para assegurar a proteção contra invasores.
A implementação da Lei Geral de Proteção de Dados (LGPD), ainda em 2020, também surge para garantir que as pessoas tenham sua privacidade certificada. Desde então, o Grupo Uninter tem se adequado às exigências da legislação de maneira mais focada e criou um departamento dedicado a tratar especificamente da Privacidade e Segurança da Informação.
Gerenciado por Sergio André Tonieto e coordenado por Tiago Kunzler Rodrigues, o setor conta com seis colaboradores e trabalha a partir de três frentes: processos, pessoas e tecnologia. O departamento divide a atuação em três pilares: área de cibersegurança, área de segurança das aplicações e a área de governança e riscos de segurança da informação.
Para Sergio, o grande desafio está em transformar as pessoas no elo mais forte desse tripé, por meio dos treinamentos e da conscientização, pois só assim é possível fazer funcionar uma tecnologia de ponta com processos bem estruturados. Tiago acrescenta que o que eles buscam é o aculturamento da segurança da informação.
“Não basta termos nossos red team (que simulam invasões para encontrar falhas), blue team (que defendem conta invasores e trabalham em melhorias) e withe team (responsáveis por garantir padrão de segurança). Não bastam as ferramentas que possam inibir qualquer tentativa de invasão ou vazamento de dados, se o nosso time inteiro da Uninter não estiver preparado. Não há ferramentas que inibam se o dado vazado acontece por um colaborador”, aponta o coordenador.
Os profissionais destacam que, mais do que os ataques às empresas, o que mais acontece são as fraudes de engenharia social, direcionadas para pessoas físicas. “É o golpe do bilhete premiado, só que agora digital”, sinaliza Sergio.
Nesse caso, os criminosos abordam as pessoas por e-mail, ligação, mensagens por aplicativo, redes sociais etc., e conseguem acesso a dados privados com links falsos, por exemplo.
“Para empresas em geral, o maior risco hoje são os ataques de ransomware, que é o que tratamos aqui, criando controle, processos e orientando pessoas. Falando de uma instituição de ensino especificamente, nós temos algo que vale ouro, que são os dados de usuários. O principal risco de vazamento de dados de titulares protegidos pela LGPD. Além de ser regulamentado por lei, é nosso principal ativo, são nossos alunos. Não queremos que tenham seus dados vendidos”, explica o gerente.
A dica do profissional é estar sempre atento a detalhes como a linguagem com a qual foi escrito, certificar de que o site é o oficial e de que o link é válido, checar erros grosseiros de identidade visual e entrar em contato com a instituição por meio do canal de atendimento oficial e não no número que eventualmente vem junto com a mensagem.
Estrutura e adequação
Sergio ingressou na Uninter em março de 2021 com a missão de estruturar o departamento de Privacidade e Segurança da Informação da instituição e, desde então, o time de profissionais especializados trabalham empenhados para assegurar a proteção de dados armazenados nos sistemas da empresa.
O primeiro passo que a equipe tomou foi o de criar uma política de privacidade para cada uma das unidades do Grupo Uninter. Nos respectivos sites é possível encontrar o documento que apresenta quais são e o porquê de os dados serem coletados, além do período em que ficam armazenados. Lá também estão dispostos os direitos e deveres tanto da empresa quanto dos titulares.
Um mapeamento das atividades de tratamento de dados também foi realizado em todos os processos de negócio e sistemas de informação da empresa para identificar onde são coletados e tratados os dados. Isso acontece desde a ficha de inscrição até o diploma digital.
Todo esse processo é necessário para fazer a avaliação de riscos. A prioridade é o tratamento daqueles mais altos e que poderiam ser um problema a curto e médio prazo.
Os primeiros treinamentos para os colaboradores, que também aparecem como obrigatoriedade na LGPD, aconteceram ainda em 2020, por meio da plataforma Univirtus.
Tiago aponta que existem alguns procedimentos e cuidados que podem ser tomados no dia a dia não só para a proteção da empresa, mas para a própria proteção como pessoa física. Seja no bloqueio da máquina enquanto não estiver trabalhando ou mesmo deixando de anotar informações confidenciais, como senhas e acessos, em locais visíveis.
Outro ponto importante que o coordenador coloca é não comentar sobre questões tratadas no ambiente de trabalho para além das pessoas envolvidas no processo, seja dentro ou fora do local onde atua.
Também foi estabelecido um canal para tratar requisições dos titulares dos dados. Sergio revela em breve será substituído por um portal todo automatizado e intuitivo, mas por enquanto, as pessoas podem solicitar seus pedidos por meio do e-mail [email protected].
Após os primeiros procedimentos relacionados à LGPD na instituição, o departamento de segurança da informação começou a dar atenção para o ambiente de TI como um todo e a verificar as proteções.
“A gente busca o que chamamos de controles para mitigar ou eliminar esse risco. O mitigar é diminuir até o nível aceitável e eliminar é simplesmente fazer com que qualquer risco desse não exista na empresa”, explica Sergio.
O gerente afirma que o setor já colhe os frutos da dedicação prestada nos últimos anos e o resultado pode ser visualizado em relatos e nas próprias atitudes dos colaboradores. No entanto, acredita que sempre é possível melhorar e que é necessário evoluir principalmente no que diz respeito ao engajamento dos colaboradores.
A LGPD na prática
A primeira ação desse momento é decorrente da avaliação de risco e da adequação à LGPD, com o treinamento contínuo dos colaboradores por meio da plataforma Hacker Rangers, baseada em gamificação.
A capacitação acontece por temporadas, em um período de seis semanas cada. Assim, os profissionais aprendem sobre segurança da informação e privacidade de dados de forma lúdica, com vídeos e quizzes que geram pontuação e podem levar à uma premiação no final de cada ciclo. São cinco temporadas até o momento (veja mais). Assim, os profissionais buscam atender ao pilar da conscientização.
“A empresa está dando um treinamento que não vai ser usado só para a finalidade laboral aqui dentro. É um presente da Uninter também para o dia a dia, para se proteger e conviver melhor com o mundo digital”, afirma Sergio.
Dessa forma, os profissionais acreditam que é possível levar esse aculturamento para fora da corporação e conscientizar também aqueles que estão próximos e que podem ser também uma vítima de golpe, se não tiver o conhecimento necessário.
Blindar o ambiente de tecnologia e softwares foi o próximo passo. O intuito é corrigir falhas de segurança graves e que permitem a invasão de computadores. Aqui foi estabelecido o procedimento de verificação das vulnerabilidades, que até então era feito de forma pontual e passou a ser um processo repetitivo.
O monitoramento de dados, com a blindagem de servidores, e o monitoramento de marca também acontecem. O primeiro ocorre internamente por meio do data loss prevention (DLP), que é a prevenção a perda de dados.
“Colocamos ferramentas dentro da Uninter para monitorar os dados em trânsito, quando está sendo enviado por e-mail, subindo pela internet dos nossos titulares. Por exemplo, toda vez que sai uma planilha com dados de pessoas para fora da Uninter, requer uma aprovação de alguém”, garante Sergio.
No caso de monitoramento de marca, uma empresa é contratada para monitorar dados sobre a instituição na web (tudo o que encontra pelo Google), na deep web (informações e sistemas existentes na internet, mas que o Google não indexa, pois precisa ter uma credencial para acessar) e na dark web (onde os crimes acontecem, como vendas de credenciais).
“Sempre que houver uma menção, por exemplo de vazamento de senhas, eles capturam e nos mandam. Não temos o domínio das máquinas dos nossos alunos e existem softwares que eventualmente podem ser levados a instalar de maneira não intencional. Softwares que roubam dados, credenciais de acesso e volta e meia acha uma lista vazada com suas respectivas senhas”, explica o gerente.
Assim, a equipe trabalha em conjunto com os demais setores da instituição para que os estudantes ou mesmo polos sejam comunicados e possam modificar os acessos para manter a segurança.
Outro procedimento frequente são os testes de invasão realizados pelos hackers de chapéu branco, como são chamados os profissionais que exploram os sistemas para identificar falhas. Quando detectam alguma inconsistência ou brecha de segurança, avisam imediatamente o time de TI para que façam a correção o quanto antes.
“Investimos também de 2021 para cá em novas tecnologias de backup que já têm proteção nativa conta esse ataque. Espalhando essas cópias por mais de um lugar, não dentro do nosso ambiente”, salienta.
Sergio garante que o departamento de Privacidade e Segurança da Informação procura sempre estabelecer uma parceria com todos os setores da empresa para garantir as ações seguras no que diz respeito ao trato das informações.
O perigo da superexposição nas redes sociais
Embora existam profissionais altamente capacitados e que trabalham diariamente para manter todos os dados da instituição e de estudantes seguros, muitos casos de fraude podem acontecer sem que essas informações vazem dos sistemas da empresa.
Um exemplo disso, foi o caso em que alunos foram abordados por uma editora que afirmava que deveriam comprar determinados livros para realizar as graduações da Uninter em que estavam matriculados. Uma mentira, já que a instituição possui a própria editora (Intersaberes) e disponibiliza todo o material necessário para os estudantes.
A informação chegou para os profissionais por meio de uma denúncia e, ao investigarem, descobriram que a editora coletava os dados dos estudantes por meio das redes sociais.
“Investigamos e foram tomadas ações aqui dentro da Uninter. Mesmo que a instituição não tenha feito parte daquilo, se sentiu parte de proteger os alunos e mandou notificações judiciais para essa empresa, fez todo um trabalho jurídico para tentar acabar com essa fraude com o nosso nome”, conta Sergio.
A dica do profissional é evitar “exposição desnecessária”. Sergio entende que o compartilhamento de diplomas virtuais no LinkedIn, por exemplo, é uma forma de comemoração e de se mostrar apto e capacitado para o mercado de trabalho. Além de ser uma ótima divulgação da instituição.
No entanto, é possível fazer isso sem “abrir tanto a sua intimidade a ponto de dar informação para quem vai tentar te aplicar um golpe”. “Não precisa dizer qual é o seu RG, seu CPF, seu e-mail”, conclui o gerente de privacidade e segurança da informação.
Sergio indica sempre e em qualquer ocasião, a checagem das informações nos canais oficiais da instituição.
Autor: Nayara Rosolen - JornalistaEdição: Larissa Drabeski