Conscientização de segurança nas empresas ainda faz a diferença

Estamos em uma guerra cibernética, sem data para acabar. Desde que o números de dispositivos ligados a internet tem aumentado vertiginosamente, ao ponto que projeções indicam que bilhões estarão em operação daqui a poucos anos. Logo aumentam a opções de fraudes, roubos de informações especialmente nas empresas, que sem dúvidas possuem mais informações sensíveis do em qualquer outro lugar. Não há sinais de paz neste campo tecnológico, ao contrário, tende a ficar mais sofisticada a cada dia.

Diante deste cenários e dos eventos recentes, empresas vem direcionando seus gastos em soluções que possam diminuir o risco de serem roubados. Soluções inteligentes e absurdamente automatizadas surgem para tentar dar um pouco mais tranquilidade em suas operações. Mas uma pergunta ecoa a cada instante: onde precisamos dedicar maior atenção? Uma pesquisa recente do Gartner aponta que as empresas tem direcionado seus custo mais para dispositivos de camada “3 e 4” (Firewall, IPS…) e se esquecendo da camada “7” (aplicações). Se equilibrar, estes investimentos então será suficiente para proteger a organização adequadamente? Em outras palavras: onde corro mais riscos? Investimentos na camada de aplicações é importante sem dúvida, pois é uma das a portas de entrada na maioria dos ataques. Agora, sem precisar fazer qualquer análise de risco, scan de vulnerabilidades, respondo a mais antiga e a principal porta de entrada: as pessoas. Todo o curso de Segurança da Informação, quer seja acadêmico ou para certificações, isso é mencionado e porque as empresas negligenciam tanto esse ponto? Não adianta gastar milhões em dispositivos, processos, soluções, etc…se os colaboradores da empresa, não estão conscientes do risco que é trabalhar conectado na internet. Culpar uma pessoas por clicar em um “link” de “phishing” é fácil, entretanto a absolvição dela aparece quando a empresa não cumpriu seu papel em conscientiza-la.

Criar uma Política de Segurança precisa e adquirir soluções teêm de correr em paralelo ao treinamento de todo os colaboradores e depois reciclar. Tem de ser item da “Política de Segurança” treinar os colaboradores novos e pelo menos uma vez por ano, pois esse processo necessita ser contínuo.

Pelas notícias que circularam na “internet”, o ataque ocorrido na “TV5 Monde”, na França, se iniciou no “Skype”, provavelmente com a simples e antiga engenharia social (outro vetor de ataque que nunca sai de moda) e a partir deste conversa foram conseguidos os endereços IPs externos, feito análise vulnerabilidades e descoberto uma falha nas aplicações “java” que foram a porta de entrada para o ataque que ocorreu no dia 08 de abril às 22:00 horas e que com certeza arranhou muito a imagem da emissora. Os “heads” das empresas precisam entender que a guerra agora é séria, onde quem ficar para trás sofrerá fortes perdas financeiras e que poucas suportarão um prejuízo vultoso, ainda mais diminuição da receita provocada pela falta de confiabilidade. No caso específico caso da “TV5 Monde”, os anunciantes que pagaram para veicular seus anúncios em certos horários devem ter ficado bem “chateados” e além de terem seu dinheiro de volta, provavelmente estarão repensando se irão renovar o contrato ou ir para a emissora concorrente.

Concluindo, não se pode investir somente em infraestrutura e esquecer as pessoas. Sendo o ele mais fraco, sempre será a primeira opção de exploração, pois é sem dúvida a principal vulnerabilidade de toda a empresa. Tem de ser tratada com muito cuidado. Reeducação / conscientização em Segurança da Informação, ajustes de processos internos e investimentos corretos em infraestrutura e serviços, visando assegurar os limites, deveres e diretos dos colaboradores e da empresa são a principal defesa. Lembrando que, sou adepto da “meritocracia”, isto é, quem segue as regras corretamente merece um “prêmio”, por outro lado quem não segue…boa sorte para todos.

[Crédito da Imagem: Segurança da Informação – ShutterStock]