por Vaine Luiz Barreira, executivo de segurança da informação
As organizações devem abordar o elemento humano como recurso de segurança, se quiserem preparar e proteger suas infraestruturas contra futuras ameaças cibernéticas.
Todos reconhecem o famoso tripé “tecnologia, processos e pessoas” como um dos pilares de uma estratégia de segurança da informação eficaz, mas na prática, o item “pessoas” costuma ser muito negligenciado.
Sem um balanceamento destes três elementos, qualquer estratégia de segurança fica deficiente. Pouco adianta gastos financeiros significativos com tecnologias como firewalls, sistemas de IDS/IPS, sistemas de proteção de endpoints, etc., se o funcionário instala (mesmo sem querer) código malicioso em seu dispositivo, acessa sites suspeitos ou clica em qualquer tipo de link. A tecnologia sozinha não resolve os atuais desafios.
Com o crescente aumento das ameaças cibernéticas, as empresas estão se dando conta de que o comportamento dos seus próprios colaboradores são os responsáveis por boa parte dos incidentes de segurança. Funcionários descuidados ou desinformados, por exemplo, são a segunda causa mais provável de um incidente de segurança, perdendo apenas para o malware. Os ataques de phishing (que utilizam engenharia social) representam um grande risco aos dados corporativos.
Focando no item “processos”, ter uma política de segurança não é suficiente para proteger a empresa contra as ameaças, pois pode não ser seguida à risca pelos funcionários e também não cobre todos os riscos possíveis. Regras rígidas podem impor punições e gerar medo nos colaboradores, fazendo com que incidentes de segurança não sejam reportados. Um evento não relatado pode levar a uma ampla violação da infraestrutura da empresa, aumentando muito o dano causado.
O treinamento dos colaboradores é essencial para aumentar a conscientização sobre segurança da informação e motivar as pessoas a prestar atenção às ameaças mesmo que não faça parte de suas responsabilidades específicas de trabalho. Instalar atualizações, garantir a proteção do seu dispositivo e gerenciar senhas pessoais adequadamente deve fazer parte da lista de tarefas de um funcionário. Essas ações podem ajudar a reduzir o risco dos colaboradores serem usados como vetor de ataque, transformando-os em mais ativos de segurança para a empresa.
Vamos abordar alguns pontos importantes para uma estratégia eficiente de segurança da informação, levando-se em conta também fatores humanos:
Analisar os riscos
Importante analisar os riscos do negócio e entender que tipos de riscos a organização enfrenta atualmente. Priorizar os riscos de negócios que exigem ação imediata para evitar, transferir ou mitigá-los e decidir quanto de recursos devem ser gastos em cada risco.
Implementar governança
Com a implantação da governança da segurança da informação, a empresa consegue alinhar as estratégias da segurança de tecnologia aos objetivos de negócio como um todo. Importante destacar os papéis e responsabilidades dos comitês e das pessoas.
Definir e divulgar políticas claras
Para estabelecer as melhores práticas de segurança para os colaboradores é necessário descrever claramente os requisitos e as expectativas da empresa em relação à segurança da informação e divulgar de maneira abrangente e sistemática todas as políticas.
Preparar a empresa para as novas legislações e normas
Com a entrada em vigor da General Data Protection Regulation (GDPR) e de outras regulamentações e normas, é importante que empresa saiba muito bem como são tratados e armazenados seus dados.
Backup dos dados
Fazer o backup dos dados ainda é uma das medidas mais importantes não apenas para garantir a continuidade dos negócios, mas também para combater ou se recuperar de novas modalidades de ataques.
Detectar ameaças internas
Monitorar a atividade do usuário permite detectar comportamento não autorizado e verificar se as ações não estão violando a política de segurança da informação. Muitas empresas se preocupam apenas com as ameaças externas.
Gerenciamento de atualizações
Um dos itens mais básicos e importantes da segurança dos ativos de TI é instalação das atualizações mais recentes. Parece incrível, mas muitas empresas não praticam a gestão de atualizações de maneira eficiente. Esse cuidado teria evitado a propagação do ransomware WannaCry da maneira como ocorreu.
Engenharia social
A engenharia social usa manipulação psicológica para levar os usuários a realizar uma ação ou fornecer informações. No caso de ataques por e-mail, como phishing, isso geralmente envolve clicar em um link incorporado, fazer o download de um malware como ransomware ou oferecer senhas e autorização financeira.
Conscientizar e treinar os funcionários
Os colaboradores são o elo mais fraco na cadeia de segurança. Uma boa estratégia de,treinamento e conscientização precisa contemplar temas importantes e atuais, como reconhecer e o que fazer com um e-mail ou sms phishing, criar e manter senhas seguras, o que fazer em caso de incidentes de segurança, reconhecer e evitar sites e aplicativos perigosos, garantir que informações importantes não sejam retiradas da empresa, além de outros riscos relevantes.
Testar seu ambiente
Procurar vulnerabilidades existentes periodicamente é uma boa prática para se antecipar aos atacantes e manter o ambiente mais seguro.
Podemos concluir que a segurança da informação afeta vários aspectos da natureza e das atividades humanas, ao invés de apenas problemas técnicos. Mesmo com todos os avanços da Inteligência Artificial, somente os seres humanos podem fazer a avaliação e o gerenciamento do risco de segurança, porque isso requer tomada de decisão e alocação de recursos. As pessoas são essenciais para resolver os desafios da segurança da cibernética, por isso elas precisam estar preparadas para assumir esse papel.
