TI CorporativaSegurança da InformaçãoConscientização – Uma tarefa importante!

Conscientização – Uma tarefa importante!

-

Outro dia eu estava conversando com um amigo que é especialista em segurança e ele me disse que estava em um fórum de tecnologia quando uma pessoa postou sobre dúvidas referentes a algumas configurações em um banco de dados. Até aí tranquilo, é muito normal procurar ajuda em um fórum específico de tecnologia ou segurança.

O problema reside em dois detalhes: o indivíduo usou o email corporativo e postou a sua assinatura no corpo da mensagem no fórum, além de é claro divulgar as versões do banco de dados utilizadas por ela na corporação.

Como a pessoa postou a dúvida referente ao banco de dados instalado, um possível atacante já teria detalhes do software instalado, bem como a possibilidade de saber a versão que pode ter alguma vulnerabilidade. Com os dados da pessoa é possível saber em qual empresa ela trabalha e começar daí a tentar fazer alguns ataques à esse banco de dados. Fácil não? Mesmo se o indivíduo em questão postasse de seu email pessoal, mas utilizando o seu nome verdadeiro, poderia ser alvo de uma investigação por algum possível atacante. Bastaria que ele utilizasse , por exemplo, uma simples busca no Linkedin ou outras redes sociais para chegar à mais detalhes e onde essa pessoa trabalha. Deixar esse tipo de informação na Internet pode fazer você ou a empresa que você trabalha suscetível a ações como “Google Hacking” que é a utilização do Google para conseguir informações que possam ser utilizadas em busca de vulnerabilidades.

Para vazamentos de informações como o descrito acima, a proteção por meio de algum controle técnico como DLP (Data Loss Prevention) se torna difícil pois esse conteúdo está na cabeça de quem está postando. Não necessariamente essa pessoa está postando de um ambiente controlado pela empresa, além dessa informação ser difícil de ser indexada pela ferramenta de DLP. É preciso fazer o funcionário entender que ele é o responsável pela informação, o quanto ela é valiosa e como ela deve ser usada de forma segura.

Devido a problemas como esses,  umas das principais tarefas de um gestor de Segurança da Informação deve ser promover Campanhas de Conscientização dos funcionários da empresa para mostrar que ações simples como o exemplo acima, podem ter um impacto enorme. O sucesso dessas campanhas de conscientização é fator crítico de sucesso do plano de Segurança da Informação, visto que apesar de ter sido gasto muito dinheiro em controles tecnológicos, informações podem continuar vazando e outros incidentes de segurança ocorrendo.

O principal desafio dessa campanha é mudar a cultura da empresa, por isso deve permear todos os níveis da corporação, claro que com isso é necessário mudar o tipo de discurso e forma de apresentação para cada área envolvida, mas sempre essa campanha deve ser baseada na política de segurança da empresa, que já deve contar com o apoio da diretoria.

É necessária, também, muita criatividade para despertar o interesse dos funcionários. Palestras com temas que, além de atenderem às necessidades da empresa, possam servir para agregar valor tanto na empresa, quanto às vidas pessoais de seus funcionários, tais como vírus, uso de senhas, engenharia social e uso seguro do correio eletrônico são bastante eficazes. A utilização de recursos lúdicos, tais como jogos educativos e peças de teatro, ajudam a fixar os conhecimentos.

De preferência, essa campanha deve ser realizada pelo Security Office em conjunto com a  área de RH que irá operacionalizar a ação, visto que o RH tem maior facilidade em acessar as pessoas.

Ao final de todas as ações da campanha, é necessário medir a efetividade da mesma, isso pode ser conseguido de algumas formas como uma pesquisa realizada com os usuários. Outro fator que pode mostrar essa melhora é a diminuição de chamados referentes as máquinas infectadas por vírus, por exemplo.

O importante é entender que essas ações visam completar a efetividade da Segurança da Informação de uma empresa, com o comprometimento e a colaboração das pessoas, onde se integrará com os aspectos tecnológicos de segurança implementados.

Fernando Romero
Fernando Romero é Gerente de Desenvolvimento de Negócios de Segurança da Telefônica, formado em Gestão em Gerenciamento de Redes pela UNIP e com pós-graduação em Segurança da Informação pelo IBTA. Possui o título de CISSP (Certified Information System Security Professional), além de outras 4 certificações na área de tecnologia. Sua trajetória profissional inclui atuações como Arquiteto de Soluções e Analista de Segurança em empresas como TIVIT e IBM.

Latest news

Estratégia de comunicação para TI: 5 erros para NÃO cometer

Existem 5 erros comuns que você não pode cometer mais na comunicação da sua empresa. Se você é um MSP que busca o sucesso, acesse e confira!

Inovação e Liderança: Uma Jornada de Transformação Digital

Inovação e Liderança: Uma Jornada de Transformação DigitalNo ritmo acelerado do mundo de hoje, a combinação de inovação e empreendedorismo é fundamental para profissionais que desejam gerar impacto nas organizações. Ao longo da minha carreira, passei de funções técnicas para posições de liderança, e, nesse caminho, aprendi como a tecnologia pode ser uma força transformadora nos negócios.

IDCA – A Força Motriz por Trás da Excelência em Infraestrutura Digital

Em um mundo cada vez mais digital, a Infraestrutura Digital robusta e confiável se tornou a espinha dorsal da sociedade moderna. É nesse cenário crucial que o IDCA (International Data Center Authority) se destaca como líder mundial, moldando o presente e o futuro da indústria. Mas o que torna o IDCA tão especial?

Gerenciador de senhas: saiba como fortalecer a segurança de TI da sua empresa em 2024

Um gerenciador de senhas é uma ferramenta projetada para armazenar, organizar e gerenciar senhas de forma segura. Mas podemos mostrar que ele vai muito além disso!
Publicidade

Software para MSPs: indo além do preço ao procurar pelas ferramentas certas

Confira 5 dicas essenciais para escolher as melhores plataformas para compor o monitoramento e segurança da infraestrutura de TI dos seus clientes

Rápido, seguro e nativo: Chrome chega ao Windows no Snapdragon

"Projetamos o navegador Chrome para ser rápido, seguro e fácil de usar em desktops e dispositivos móveis, e estamos sempre procurando maneiras de levar essa experiência a mais pessoas", disse Hiroshi Lockheimer, Senior Vice President, Google.

Must read

Estratégia de comunicação para TI: 5 erros para NÃO cometer

Existem 5 erros comuns que você não pode cometer mais na comunicação da sua empresa. Se você é um MSP que busca o sucesso, acesse e confira!

Inovação e Liderança: Uma Jornada de Transformação Digital

Inovação e Liderança: Uma Jornada de Transformação DigitalNo ritmo acelerado do mundo de hoje, a combinação de inovação e empreendedorismo é fundamental para profissionais que desejam gerar impacto nas organizações. Ao longo da minha carreira, passei de funções técnicas para posições de liderança, e, nesse caminho, aprendi como a tecnologia pode ser uma força transformadora nos negócios.
- Advertisement -

You might also likeRELATED
Recommended to you