A criatividade dos hackers – muitas vezes contratados pela concorrência e motivados por grandes quantias financeiras – tem deixado boquiabertas até as gigantes mundiais da segurança da informação. Certas estratégias de roubo de dados não envolvem grandes ataques às redes corporativas e nem a engenharia social – elas fazem uso de conversas aparentemente inofensivas para descobrir informações sigilosas que, muitas vezes, levam à senha.
Alvo de uma campanha de espionagem patrocinada por uma organização criminosa, uma empresa de grande porte de São Paulo foi invadida no ano passado e sofreu sérios prejuízos. Dados importantes foram roubados de seus sistemas após funcionários injetarem, sem imaginar que estivessem fazendo isso, pen drives infectados com vírus nas máquinas.
Eles foram enganados de uma maneira inimaginável. Os invasores espalharam pen drives com o logo da empresa a ser atacada em restaurantes no entorno da matriz. Na hora do almoço, vários colaboradores se depararam com o dispositivo e o levaram para a empresa, acreditando que teria sido esquecido por algum colega da empresa. Na tentativa de descobrir de quem seria o objeto, conectavam o pen drive na máquina e contaminaram não só seus computadores, mas toda a rede. “Esse fato é real, aconteceu em 2015 e já tem histórico no exterior”, revela Claudio Martinelli, diretor-geral da Kaspersky no Brasil.
Entra ano, sai ano, o usuário continua posicionado como o “elo fraco” de toda estratégia de segurança da companhia. Não importa quantos milhões sejam investidos, softwares comprados e cursos ministrados. Uma combinação de ingenuidade com curiosidade costuma levar ao erro. “Por mais que você treine, o usuário não é programável. Ele pode estar estressado, cansado e reagir emocionalmente, resultando no erro”, lembra Jesus Lopez Aros, diretor-executivo de consultoria em infraestrutura da Accenture para a América Latina.
As empresas de segurança de TI calculam que aproximadamente 50% das falhas de segurança que levam a invasões ocorram por culpa do usuário – na maioria das vezes, ele nem suspeita. “As coisas ficaram mais fáceis para os criminosos. Antes, eles tinham que ligar para a secretária na tentativa de descobrir algo. Hoje, basta acessar o Facebook e descobrir a data de aniversário e o nome do cachorro do seu alvo. As pessoas tornam públicas informações pessoais. E não adiante deixar seu perfil restrito a terceiros. Eles podem invadir, por exemplo, a conta da sua mãe em uma rede social para ter acesso a todos os dados do seu perfil”, alerta Martinelli. Na dúvida, recomenda, não publique.
Uma das áreas-alvo dos hackers hoje é a de recursos humanos, muitas vezes uma porta de entrada sem nenhuma fechadura. Isso ocorre pela facilidade de poder enviar currículos falsos infectados. O executivo explica que os treinamentos devem superar tudo que já foi feito e pensado até hoje e orientar os usuários para o inimaginável. “O treinamento e a inteligência precisam evoluir. Segurança se faz com ferramenta, política e educação.”
Outro erro comum refere-se à repetição da senha, especialmente em serviços digitais diferentes. Ou seja, a senha do Facebook não pode ser a mesma do internet banking. Se um criminoso descobrir uma, ele entrará em todas as contas.
E as redes wi-fi dos hotéis, restaurantes e centros de convenções? Muitas corporações instruem seus funcionários a utilizarem uma VPN (Virtual Private Network), fornecida pela área de TI, para transitar dados criptografados em redes sem fio abertas. Parece exagero? Parece. Isso até algo acontecer. Quem pode garantir que a rede wi-fi não foi invadida?
Essa é a mentalidade dos profissionais de segurança de TI que vêm trabalhando para aumentar seus orçamentos. Com o aumento da circulação de dinheiro pela internet – de e-commerce a internet banking – o país entrou de vez na rota de hackers do mundo todo. Em plena era do BYOD (Bring Your Own Device, ou traga seu próprio dispositivo como o celular e o tablet para o trabalho), os funcionários inevitavelmente aumentaram a exposição de empresas a riscos. Muitos fazem trocas dos arquivos da empresa para seus dispositivos e vice-versa. Nessas migrações, há risco de um aparelho infectado por um vírus ou spyware (ferramenta que espiona os hábitos do usuário) infectar a rede.
“Há muitas aplicações na nuvem que não são sancionadas pelas empresas e que os usuários acessam sem a companhia ter ciência do que eles estão fazendo’, diz Marcos Oliveira, country manager da Blue Coat. O advento da nuvem é um caminho sem volta. Ele comenta que Microsoft Office está na nuvem assim como Google Drive, Salesforce, ServiceNow, Oracle, SAP e diversos outros players que estão modificando seus sistemas para a nuvem.
Levantamento feito pela Trend Micro revela que 60% das empresas nos Estados Unidos e Europa implementaram políticas BYOD para smartphones e 47% fizeram a mesma coisa para tablets e notebooks. O desafio é grande e demanda novas atitudes e tecnologias. Oliveira explica que o Gartner criou uma nomenclatura e arquitetura chamada CASB (Cloud access security brokers), que fez surgir ferramentas que permitem saber o que o usuário está fazendo na nuvem e se suas ações são seguras para a empresa. Dessa forma, é possível à área de TI criar regras de segurança e também garantir a conformidade às regras governamentais não só brasileiras, mas internacionais. “Trata-se de uma nova tecnologia que surgiu para organizar o caos.”
A tecnologia não olha cada item acessado, mas rastreia o comportamento do usuário e o que foge do seu padrão. Um exemplo seria compartilhar um arquivo que não é de sua área e que, pelas regras da empresa, poderia ser proibido.
Além de ferramentas e políticas de segurança, os usuários de tecnologia demandam educação. Só que, em lugar de assistir aulas longas e demoradas, eles querem aprender a usar aplicativos de uma nova maneira.
“Auto-treinamento, em seu próprio ritmo, de forma on-line, com conforto e flexibilidade para escolher o melhor horário, local e conteúdo que seja importante. Nesse contexto, desenvolvemos o Trailhead, um portal de educação e treinamento. O conteúdo é gratuito e aberto”, explica Maurício Prado Silva, vice-presidente da unidade de negócios da Salesforce.
Fonte: Valor Econômico, por Françoise Terzian (*), 28.03.2016
Nenhum comentário:
Postar um comentário