Outro dia eu estava conversando com um amigo que é especialista em segurança e ele me disse que estava em um fórum de tecnologia quando uma pessoa postou sobre dúvidas referentes a algumas configurações em um banco de dados. Até aí tranquilo, é muito normal procurar ajuda em um fórum específico de tecnologia ou segurança.
O problema reside em dois detalhes: o indivíduo usou o email corporativo e postou a sua assinatura no corpo da mensagem no fórum, além de é claro divulgar as versões do banco de dados utilizadas por ela na corporação.
Como a pessoa postou a dúvida referente ao banco de dados instalado, um possível atacante já teria detalhes do software instalado, bem como a possibilidade de saber a versão que pode ter alguma vulnerabilidade. Com os dados da pessoa é possível saber em qual empresa ela trabalha e começar daí a tentar fazer alguns ataques à esse banco de dados. Fácil não? Mesmo se o indivíduo em questão postasse de seu email pessoal, mas utilizando o seu nome verdadeiro, poderia ser alvo de uma investigação por algum possível atacante. Bastaria que ele utilizasse , por exemplo, uma simples busca no Linkedin ou outras redes sociais para chegar à mais detalhes e onde essa pessoa trabalha. Deixar esse tipo de informação na Internet pode fazer você ou a empresa que você trabalha suscetível a ações como “Google Hacking” que é a utilização do Google para conseguir informações que possam ser utilizadas em busca de vulnerabilidades.
Para vazamentos de informações como o descrito acima, a proteção por meio de algum controle técnico como DLP (Data Loss Prevention) se torna difícil pois esse conteúdo está na cabeça de quem está postando. Não necessariamente essa pessoa está postando de um ambiente controlado pela empresa, além dessa informação ser difícil de ser indexada pela ferramenta de DLP. É preciso fazer o funcionário entender que ele é o responsável pela informação, o quanto ela é valiosa e como ela deve ser usada de forma segura.
Devido a problemas como esses, umas das principais tarefas de um gestor de Segurança da Informação deve ser promover Campanhas de Conscientização dos funcionários da empresa para mostrar que ações simples como o exemplo acima, podem ter um impacto enorme. O sucesso dessas campanhas de conscientização é fator crítico de sucesso do plano de Segurança da Informação, visto que apesar de ter sido gasto muito dinheiro em controles tecnológicos, informações podem continuar vazando e outros incidentes de segurança ocorrendo.
O principal desafio dessa campanha é mudar a cultura da empresa, por isso deve permear todos os níveis da corporação, claro que com isso é necessário mudar o tipo de discurso e forma de apresentação para cada área envolvida, mas sempre essa campanha deve ser baseada na política de segurança da empresa, que já deve contar com o apoio da diretoria.
É necessária, também, muita criatividade para despertar o interesse dos funcionários. Palestras com temas que, além de atenderem às necessidades da empresa, possam servir para agregar valor tanto na empresa, quanto às vidas pessoais de seus funcionários, tais como vírus, uso de senhas, engenharia social e uso seguro do correio eletrônico são bastante eficazes. A utilização de recursos lúdicos, tais como jogos educativos e peças de teatro, ajudam a fixar os conhecimentos.
De preferência, essa campanha deve ser realizada pelo Security Office em conjunto com a área de RH que irá operacionalizar a ação, visto que o RH tem maior facilidade em acessar as pessoas.
Ao final de todas as ações da campanha, é necessário medir a efetividade da mesma, isso pode ser conseguido de algumas formas como uma pesquisa realizada com os usuários. Outro fator que pode mostrar essa melhora é a diminuição de chamados referentes as máquinas infectadas por vírus, por exemplo.
O importante é entender que essas ações visam completar a efetividade da Segurança da Informação de uma empresa, com o comprometimento e a colaboração das pessoas, onde se integrará com os aspectos tecnológicos de segurança implementados.