Sabe o que acontece quando sua empresa não cuida da segurança da informação?

no face hackerVeja dicas de Cristiano Lincoln Mattos, especialista em segurança da informação e empreendedor Endeavor, para que as novas tecnologias não comprometam o desempenho da sua empresa

Você já ouviu falar de uma série britânica chamada Black Mirror? Tendo como fio condutor a nossa dependência de novas tecnologias, a antologia discute as consequências do uso excessivo de smartphones, de redes sociais, sobre os riscos de hackers, e por aí vai. São histórias sombrias, muitas vezes satíricas e, pela atualidade do assunto, imperdíveis.

Um episódio da terceira temporada, por exemplo: vemos o que acontece quando um adolescente baixa um software sem qualquer precaução, e tem a webcam capturada. Mas paremos por aqui, para não dar spoiler. O fato é que hoje, é quase impossível imaginar a vida sem o uso de dispositivos móveis e conexão total à internet. Com isso, nossos dados estão por aí, cada vez mais acessíveis; o Big Data não nos deixa mentir.

E é por isso que, principalmente na sua empresa, a segurança da informação deve ser a prioridade zero. Pois, à medida que nosso nível de conexão aumentou, os ataques virtuais à informação também cresceram. Para ajudá-lo a proteger melhor os dados da sua organização e de seus usuários, chamamos o especialista em segurança da informação Cristiano Lincoln Mattos, CEO da Tempest Security Intelligence.

Na conversa abaixo, ele compartilha dicas básicas indispensáveis para sua empresa. Afinal, você não quer inspirar um novo episódio do seriado inglês, quer?

 

Ainda um problema crítico para as empresas

Na opinião de Lincoln, a segurança da informação das empresas costuma ser abalada por alguns fatores. Ele destaca dois:

_Velocidade de mudanças em tecnologia: “as empresas em geral já têm dificuldade em acompanhar os avanços mais recentes da tecnologia, até pra melhorar o negócio. Agora, imagina quando se trata de problemas de segurança que também mudam rapidamente. Segurança é um ‘alvo móvel’ — você não é seguro, você está seguro. Estar sempre atualizado é difícil”.

_Bons profissionais de segurança são “mosca branca” no mercado: “ao contrário de desenvolvedores e pessoal de infraestrutura de redes, existem pouquíssimas faculdades formando profissionais de segurança. Há um enorme déficit de profissionais de segurança no mercado — e isso não é só no Brasil, é um problema mundial”.

 

Como não cair na rede quando estiver nela

Lincoln segue refletindo sobre o alcance dos ataques: “Antigamente, os alvos eram somente bancos ou empresas. Mas, hoje, a sociedade inteira está online. Por isso, as investidas têm ficado cada vez mais fáceis. Massificaram-se, por assim dizer. O pessoal joga a tarrafa, e quem cair, caiu”.

Para se precaver contra isso, o especialista sugere “o básico do básico”: manter sempre atualizados o smartphone, o notebook, o tablet ou qualquer máquina. Porque, atualmente, a maioria das “invasões” aos sistemas acontece por conta de falhas antigas, de versões desatualizadas, que costumam ser corrigidas nas versões mais recentes do iOS, do Android etc.

Lincoln afirma que, caso sua empresa utilize PCs, um bom antivírus também é indispensável. “Há vários gratuitos que cumprem muito bem as tarefas mais básicas de proteção”, diz.

Ele destaca que essa boa prática de atualização se aplica também aos programas e aplicativos já instalados – “por exemplo, o seu Office, Flash, Adobe Acrobat, Java, etc”. Porque não adianta o sistema operacional estar em ordem se os programas não estiverem também atualizados.

“E isso vale inclusive pra um Apple — eu sempre tomo cuidado de destacar isso, para o pessoal que usa Apple não achar que está 100% seguro, quando não está”, completa o empreendedor.

 

Quando passarem uma isca suculenta, não morda!

Aquela analogia com pescaria é oportuna — até porque, hoje, uma das práticas de ataque virtual mais comuns é o phishing. São aqueles e-mails de bancos e grandes empresas que geralmente contêm ofertas ou pedidos suspeitos: atualizações de cadastro, promoções incríveis de produtos, passagens aéreas por preços baixíssimos etc.

Então, em vez de verificar a procedência do e-mail, você se interessa, clica no botão e… Bem, a partir daí, tudo pode acontecer.

“Pois são correspondências fraudulentas”, diz Lincoln, “E, quando você clica em um anexo, um malware certamente será instalado na sua máquina.”

Mas o que pode acontecer, exatamente?, você pode estar se perguntando. O CEO da Tempest responde: “hoje, existe um verdadeiro mercado negro de venda de informações. Ainda que você não use o netbanking, suas informações do Facebook podem ser utilizadas para a venda de likes, por exemplo”. Há vários fins que podem ser dados para qualquer informação.

E se você acha que esses pequenos golpes são exclusividade de micro ou pequenas empresas, pense de novo. Porque grandes corporações, com sistemas de segurança bem desenvolvidos, também são vítimas desses pescadores mal-intencionados. Ou seja, todo mundo erra. Por isso, não importa o estágio da sua empresa: cautela e caldo de galinha nunca fazem mal a ninguém.

 

Eu até me garanto, mas como evitar que meus funcionários não caiam nisso?

Aqui, Lincoln garante que treinamento é o caminho. “Conscientizar e educar o time para não clicar em nenhum link suspeito é a melhor forma de proteger sua empresa contra o phishing”.

Isso pode ser feito em reuniões mensais — você mesmo pode conduzir as instruções, ou algum conhecido que entenda o básico de TI.

Há, inclusive, startups dedicadas a isso. Lincoln menciona a El Pescador, que, por meio de linguagem clara e didática, e de forma lúdica, oferece treinamentos contra esse tipo de ameaças.

Trata-se de uma plataforma “de phishing educativo”: o pessoal da El Pescador cria e-mails fraudulentos bem de acordo com o perfil da sua empresa, para simular o phishing. Aí, se algum colaborador clicar em algum e-mail, ele é direcionado a um vídeo com treinamento. E você acompanha tudo por um dashboard que mostra quem clicou, quem fez o treinamento, e por aí vai. A ferramenta também revela quem está utilizando navegadores desatualizados, algo que facilita os ataques.

Outra precaução importantíssima diz respeito ao uso de computadores pessoais na empresa. “Seu funcionário pode ter plena consciência de que deve cuidar do computador pessoal dele. Mas e o filho dele? Como evitar que baixe um jogo pirata e coloque tudo em risco?”

Lincoln afirma que, para evitar isso, não há receita específica. A recomendação também é instruir seus colaboradores sobre os riscos envolvidos.

 

E as informações de terceiros?

Até aqui, como vimos, você mesmo pode coordenar as iniciativas relativas à segurança da informação na sua empresa. Porque são passos básicos, mas fundamentais para afastar riscos.

Agora, quando se trata de informações de usuários, o assunto fica um pouco mais complexo e técnico. Porque você estará lidando com dados de terceiros, e os riscos crescem.

A primeira provocação de Lincoln é a respeito do armazenamento e o acesso desses dados: “como é que você está guardando essas informações? Estão numa base segura? Quem é que tem acesso a elas?”

Neste sentido, uma política de privacidade é indispensável.

“AQUELES TERMOS DE USO EXPLICANDO DETALHADAMENTE, PARA OS USUÁRIOS, O QUE VOCÊ FARÁ COM AS INFORMAÇÕES DELES, COM DISCLAIMERS (AVISOS) BEM CLAROS E DEFINIDOS”.
A precaução, conta Lincoln, é crucial. “Já vi startups quebrarem por ignorarem esses processos. Não houve o comprometimento com as informações de usuários, houve um ataque, as informações foram perdidas — e, com elas, a confiança dos clientes. Isso é letal”. Para tanto, as provocações continuam: “os dados estão criptografados? Qualquer pessoa consegue chegar e baixá-los?”

Existem inúmeros casos famosos de hack de informações desprotegidas. Como o ataque sofrido pela rede social de “relações extraconjugais” Ashley Madison: em 2015, um grupo roubou dados de usuários do site, e ameaçou divulgá-los caso não fosse imediatamente terminado. E em 18 e 20 de agosto daquele ano, os hackers vazaram mais de 25 gigabytes de informações da companhia, incluindo dados de clientes.

 

Considere testar a segurança do seu site

Para garantir a segurança — tanto dos seus usuários quanto a da sua empresa –, o especialista recomenda a realização de um penetration test no seu site. É um ataque simulado.

“EXISTEM VÁRIAS EMPRESAS QUE FAZEM ISSO. FUNCIONA ASSIM: UM PROGRAMADOR SE COLOCA NO PAPEL DE UM HACKER E VAI LÁ TENTAR QUEBRAR A SEGURANÇA DO SEU SITE”.
E o resultado desse trabalho costuma ser um relatório bem completo, para mostrar aos responsáveis pela tecnologia o que foi feito de errado. “É um trabalho preventivo”, conta Lincoln.

Diferentemente daquelas primeiras precauções, neste caso o ideal é que você recorra a uma empresa especializada.

Em resumo, as principais dicas são essas: sempre atualizar o equipamento, treinamento, sempre educar de colaboradores contra o phishing e, em casos mais técnicos, buscar o auxílio de empresas especializadas.

Desta forma, sua empresa provavelmente saberá usar as novas tecnologias — em vez de ser usada por elas, como acontece nas preocupantes histórias de Black Mirror.

Fonte: endeavor.org.br

Start typing and press Enter to search

Iniciar conversa
1
Precisa de ajuda?
Olá! Podemos te ajudar?