A importância da SEGURANÇA DA INFORMAÇÃO

No dia a dia, enquanto navegamos por sites de comércio eletrônico, redes sociais e plataformas de serviços como Youtube e Spotify, sequer percebemos a quantidade de campos do site com os quais interagimos, fornecendo informações pessoais. Quando colocamos um comentário em resposta a um post, quando logamos com nossa conta (e-mail e senha), quando fazemos um a compra ou mesmo quando escolhemos uma opção de cor de fundo, todos esses dados são coletados e salvos ou comparados com dados já registrados no banco de dados do servidor. Já parou para pensar em como esses bancos armazenam informações cruciais de sua vida, como produtos adquiridos, senhas, números cartões de crédito, etc? A segurança de toda essa informação é extremamente importante, e é isso que explicaremos a seguir.

Desde a década de 90, a internet entrou num crescente estado de popularização. Com o aumento do número de usuários, o número de sites e serviços disponíveis também aumentou. O desenvolvimento das aplicações Web vem acompanhando esse crescimento, ou seja, existe uma grande demanda e essas aplicações estão cada vez mais complexas e o prazo de entrega exigido em seu desenvolvimento é cada vez mais curto. Isso faz com que programadores foquem nas funcionalidades da aplicação e negligenciem aspectos de segurança dessas aplicações. Com isso, o número de ataques contra essas plataformas aumentou, e então estudos sobre a segurança de códigos se tornaram mais necessários e frequentes.

Segurança em números

Com a necessidade de entender vulnerabilidades de segurança, ataques e suas respectivas consequências, algumas pesquisas sobre os prejuízos causados pelas invasões, como o exemplo recente abaixo (Figura 1), começaram a ser realizadas. Através delas, foi possível entender quais ataques são mais efetivos ou comuns para que possa ser feita a manutenção e prevenção, além de auxiliar na conscientização dos programadores responsáveis pela concepção dos sites alvo.

A Figura 1 mostra os resultados do estudo chamado “Cost of a Data Breach”, conduzido pelo Instituto Ponemon em 2018 e patrocinado pela IBM Security (PONEMON, 2018). Para esse estudo foram entrevistadas 500 empresas de 15 países e os resultados são referentes ao recorte do Brasil. Neste infográfico 'e possível observar que o gasto total médio das empresas brasileiras ao sofrerem ataque de violação de dados pode chegar até 1,24 milhão de dólares, incluindo gastos com recuperações de dados, investigações especializadas, leis e regulamentações e perda de lucro. O mesmo estudo aponta o Brasil como o país com a maior taxa de probabilidade de sofrer uma violação de dados chegando a 43%, sendo o sétimo país com maior número de ataques hacker do mundo segundo o jornal O Globo (FABRASILE, 2018), superando a média global de 27%.

Outro estudo, realizado pela IFSECglobal [referência estudo], uma convenção internacional sobre segurança em diversas áreas, leva em consideração o porte das empresas. Pesquisando em instituições e empresas do reino unido, o estudo da Figura 2 aponta que o prejuízo de uma empresa pequena ao sofrer um ataque é, em média, U$3.624,06, e de médias empresas é, aproximadamente, U$5.856,84 (todos os valores foram convertidos do Euro para o Dólar. As conversões foram realizadas no dia da publicação do estudo, 29/03/2020). Esse estudo também aponta que 80% dos proprietários ou representantes de empresas entrevistados afirmaram que a segurança de suas informações é de alta prioridade para a empresa, mas que apenas pouco mais de 15% destas empresas reavaliaram e atualizaram suas normas de segurança de informações.

Por que empresas e organizações estão interessadas em segurança da informação?

De acordo com Basso et al. (BASSO et al., 2016), existem dois principais motivos para que empresas e organizações estejam interessadas em proteger a segurança das informações que detém: (i) leis e regulamentações (as empresas que mantêm dados privados têm a obrigação e a responsabilidade de protegê-los); (ii) interesses comerciais (quanto mais uma empresa protege a privacidade de seus clientes e parceiros de negócios, mais credibilidade e confiabilidade ela obtém).

No que diz respeito a leis e regulamentações, governos e agências regulamentadoras pelo mundo todo implementaram na legislação obrigações que devem ser seguidas pelas pessoas jurídicas ou físicas que desejam colocar sites no ar e utilizar informações de clientes e parceiros de negócios. Alguns exemplos dessas leis são: GDPL (General Data Protection Regulation), regulação europeia que estabelece como e quem é responsável pelo transporte, tratamento e proteção dos dados; COPPA (Children's Online Privacy Protection Action) (15th USC 2000), lei dos EUA que estabelece que um provedor de serviços online não pode recolher informações de crianças sem o consentimento dos pais ou do responsável por ela; HIPAA(Health Insurance Portability &Accountability Act) (ASSISTANCE , 2003), também dos EUA, que define políticas e procedimentos para anonimização de dados de saúde individuais de pacientes de hospitais e clínicas, a fim de proteger a privacidade destes.

No caso do Brasil, a Agência Nacional de Proteção de Dados (ANPD) aprovou em 2018, e deve entrar em vigor em agosto de 2020, a Lei Geral de Proteção de Dados (LGPD) (Câmara dos Deputados do Brasil, Senado Federal do Brasil, 2020), que será uma adição ao marco civil da internet. O marco civil da internet é um conjunto de leis que define diversos direitos dos donos dos dados e algumas responsabilidades para os agentes de tratamento, definindo estes como os responsáveis pela gerência e tratamento dos dados. A LGDP alterará alguns destes artigos, visando principalmente manter a privacidade dos dados como prioridade das empresas que tratam e mantém informações de clientes.

Outro motivo para empresas se preocuparem com a segurança, além de leis e prejuízos enormes, é a confiança de seus clientes. Ataques que violam a privacidade dos dados de uma empresa, quando conhecidos, podem prejudicar sua credibilidade. A figura 3 representa um estudo de 2015, respondido por internautas americanos, onde aproximadamente 91% dos entrevistados responderam que evitam contratos e relacionamento com empresas que não tem políticas de privacidade de dados ou não tem um bom histórico com proteção das informações dos clientes.

No Brasil, um estudo realizado por Silva et. al. (SILVA; LUCIANO; MAGNAGNAGNO, 2015) investigou quais tipos de informação as pessoas mais se preocupavam em proteger. Com aproximadamente 1.100 entrevistados, de todas as regiões do país, 74% dos cidadãos se preocupavam com a proteção de senhas, 73% com dados de cartão de crédito, aproximadamente 66% se preocupava com suas contas de banco e 63% com a lista de gastos e compras do cartão de crédito.

Com base nos números apresentados, não há dúvidas sobre a importância e do diferencial competitivo que investir em segurança e privacidade da informação traz às empresas.

Mais recentemente, em 2020, a CISCO publicou um estudo onde entrevistou 2800 profissionais de segurança em 13 países, que trabalham em empresas de vários portes. 70% dos entrevistados afirmam estar obtendo benefícios comerciais como resultado dos esforços para proteção de segurança e privacidade, incluindo vantagem competitiva, agilidade e maior atratividade da empresa

Segurança em aplicações WEB

É importante dizer que segurança da informação tem um contexto bastante abrangente, que permeia diversas áreas da computação, como, por exemplo, redes, configurações de servidores, autenticação e autorização, código de aplicações, entre outras (para mais detalhes veja nossa página "Segurança de sistemas computacionais"). Nesse contexto, nosso estudo tem foco no estudo e desenvolvimento de soluções para auxiliar na segurança de aplicações Web, ou seja, desenvolvimento de código seguro, contra vulnerabilidades do tipo SQl injection e XSS. A descrição detalhada dessas vulnerabilidades está na nossa página (SQL Injection e Cross-site Scripting), assim como nossas respectivas recomendações, desenvolvidas em nossos estudos, para a prevenção e solução para os respectivos ataques.

Referências

105th United States Congress. Children’s Online Privacy Protection Act.2000. Disponível em: https://www.ftc.gov/enforcement/statutes/childrens-online-privacy-protection-act. Acesso em: 19 Nov. 2019.

ASSISTANCE, HIPAA Compliance. Summary of the hipaa privacy rule. Office for Civil Rights, 2003.

BASSO, T. et al. Challenges on anonymity, privacy, and big data. In: IEEE.2016 Seventh Latin-American Symposium on Dependable Computing (LADC). [S.l.], 2016. p.164–171

Câmara dos Deputados do Brasil, Senado Federal do Brasil.Lei Geral de Proteção de Dados. 2020. Disponível em: https://www.lgpdbrasil.com.br. Acesso em: 18 Sept.2020.

FABRASILE, D. Empresas no Brasil estão entre as mais vul-neráveis a ciberataques, diz estudo da IBM. 2018. Disponível em: https://epocanegocios.globo.com/Tecnologia/noticia/2018/07/custo-com-violacao-de-dados-no-brasil-e-o-menor-do-mundo.html. Acesso em:2 abr. 2020

PONEMON, I. cost of a data breach study: Global overview.Benchmark research sponsored by IBM Security Independently conducted by Ponemon Institute LLC, 2018.

SILVA, V. R. Britto-da; LUCIANO, E. M.; MAGNAGNAGNO, O. A. Preocupação coma privacidade na internet: uma pesquisa exploratória no cenário brasileiro.Anais do VEncontro de Administração da Informação, 2015, Brasil., 2015.

TRUSTARC (2016). TRUSTe 2016 U.S. Consumer Privacy Confidence Privacy Report: What Consumers Think, Business Impact, and Recommended Actions. Available at www.trustarc.com. Acesso em: 19 Nov. 2019