Segurança corporativa: Funcionários são risco negligenciado
27 de maio de 2015Controlar o acesso dos usuários e criar programas de conscientização sobre segurança da informação são práticas simples, mas fundamentais
Empresas ainda negligenciam medidas simples de segurança, como o controle do acesso à internet, criptografia de e-mails e concessão de privilégios aos usuários dos sistemas – questões básicas que podem desencadear uma série de problemas.
“A preocupação em combater novas ameaças faz com que a companhia fique em dúvida na hora de priorizar os ativos de TI que devem ser monitorados”, explica o especialista em segurança da informação do Arcon Labs, Wander Menezes.
O executivo alerta que ameaças persistentes avançadas (que atingem computadores específicos com algum tipo de informação de valor) podem decorrer de falhas simples na hora de garantir a segurança dos dados, como o controle de um email.
O ponto levantado por Menezes é corroborado por uma pesquisa recente da Intel Security, que alerta para o desconhecimento dos profissionais brasileiros sobre os riscos da falta de segurança cibernética. O relatório apontou que 46% dos entrevistados acreditam que o sucesso dos ataques se deve à falta de conhecimento do brasileiro a respeito das ciber ameaças.
Para ajudá-lo a se proteger desses riscos, o especialista atenta para três medidas de segurança:
1. Todos podem ser alvo de ataque
Todos os cargos estão sujeitos a ataques cibernéticos, não só os de chefia. Policiar os funcionários de todos os escalões é fundamental.
“O atacante normalmente tentará agir pelo elo mais fraco da cadeia para ter mais chances de sucesso”, explica Menezes. Entre os mais citados como responsáveis por acidentes na Pesquisa Global sobre Segurança da Informação 2015 da PwC estão os funcionários internos — entre 2014 e 2013, a porcentagem cresceu 10%.
O número não significa que os funcionários tenham comportamentos maliciosos, mas que podem, sem querer, acarretar a perda de dados por dispositivos móveis ou ser alvo de esquemas de phishing, quando informações e dados pessoais importantes são coletados por meio de mensagens falsas.
“Um hacker pode, ao invés de atacar diretamente o CEO, focar em usuários mais comuns da empresa, que provavelmente não possuem informações valiosas, mas que compartilham a mesma rede, sendo usados como trampolim para o objetivo final”, pontua o especialista. “Por isso, a concessão de privilégios e acessos livres dos usuários às redes não é aconselhável”.
2. De olho nos terceiros
Garantir a segurança dos dados dos funcionários não é o suficiente. Os prestadores de serviço também podem ser alvos potenciais e causarem prejuízos substanciais, então é importante que a empresa aplique suas políticas de segurança a todos.
Acompanhar a conduta dos terceiros garante que se comprometam com as políticas corporativas de segurança.
3. Programas de conscientização
Para assegurar o comprometimento de toda a empresa com a segurança corporativa, é preciso promover uma conscientização contínua sobre a política adotada. Esse compromisso deve ocorrer em todas as esferas e departamentos da companhia para que a segurança seja efetiva.
“Simplesmente publicá-la na intranet não vai resolver. É recomendável que sejam estabelecidos programas de treinamento, reuniões e comunicações regulares”, sintetiza Menezes.
Fonte: Computerworld