Até onde governos e empresas se preocupam com a privacidade da segurança da informação? Até onde eles deveriam se preocupar em manter esses dados seguros e se responsabilizar caso algo aconteça?

Os dados de mais de 50 milhões de cidadãos turcos foram expostos na internet por um ativista chamado Thomas White. Em seu site, White informa que a base hackeada foi a do cadastro nacional da polícia turca, porém algumas fontes externas dizem que a base hackeada na verdade seria a do cadastro eleitoral turco de 2009.

Independente de qual seja a origem destes dados, este vazamento de informação nos traz uma séria reflexão: a privacidade e segurança de dados; questionando até onde as autoridades tomam as medidas necessárias para manter a privacidade das informações de empresas e quais seriam os controles de segurança efetivos implementados para tal proteção.

O governo turco já sabia das falhas de segurança em seu sistema e as providências tomadas não foram suficientes para impedir o vazamento das informações, como por exemplo:

• Criptografia fraca

•Utilização de senhas dentro do código de programação

•Estrutura de banco desorganizada e não indexada

Não se sabe ainda quais as reais consequências do vazamento para a população turca, que podem ser muitas, tais como falsidade ideológica, falsificações de documentos particulares e até mesmo compras ou empréstimos indevidos. Em qualquer uma das situações, os desdobramentos podem ser ainda piores.

Mas o que se pode afirmar sobre esse episódio: sem o mínimo de investimento e controle de segurança dos dados, qualquer governo ou empresa estará suscetível a este tipo de ataque.

Existem diversos controles que podem ajudar a aumentar o nível de segurança da informação para se manter os pilares básicos: integridade, confidencialidade e disponibilidade. Entre os muitos controles críticos de segurança e suas respectivas ações, podem ser destacadas algumas fundamentais:

• Monitoração de segurança com controle e auditoria nos acessos, utilizando ferramentas de apoio para análise e correlação de logs a fim de detectar e responder incidentes de segurança;

• Criptografia forte com a utilização de chaves privadas;

• Atualização constante dos sistemas para sua última versão estável;

• Autenticação multifatorial.

Ainda que estes e outros controles de segurança estejam implementados na rede de uma organização, não há garantia de segurança e os dados nunca estarão 100% seguros. Por isso as medidas de segurança se fazem tão importantes para que se mitiguem os riscos, aumentando a dificuldade de um ataque ser bem-sucedido.

O Kaspersky Endpoint Security for Business é uma das soluções que fornece inigualável segurança e controle de TI para sua empresa.

Fonte

Computer World