São Paulo/SP – 11 de agosto de 2023 – Medidas simples e eficazes para reforçar a segurança da informação, reduzir riscos de vazamentos de dados e proteger sua empresa contra ameaças cibernéticas.
*Caue Lugli
No cenário contemporâneo, onde a tecnologia permeia todas as esferas de nossas vidas, a segurança da informação torna-se um aspecto cada vez mais relevante. O crescente volume de dados digitais e as ameaças cibernéticas em constante evolução tornam obrigatório que os usuários adotem medidas proativas para proteger suas informações pessoais e reduzir os riscos de vazamento de dados. Muitas destas medidas são simples e não requerem muito esforço além da boa vontade e da praxe cotidiana.
Neste artigo, exploraremos algumas medidas simples, porém eficazes, que os colaboradores e a empresa podem incorporar em suas rotinas diárias para fortalecer a segurança da informação. Muitas destas práticas não exigem investimento de capital, sendo em sua grande parte apenas posturas a serem adotadas.
1) Atualizações de Software: Defesa contra Vulnerabilidades Conhecidas
Manter o software atualizado é uma estratégia fundamental para mitigar vulnerabilidades conhecidas em sistemas operacionais e aplicativos. As atualizações frequentes não apenas fornecem novos recursos, mas também corrigem falhas de segurança identificadas. Configurar as opções de atualização automática garante que os dispositivos permaneçam protegidos contra explorações maliciosas de brechas de segurança. Inúmeros ataques e prejuízos exorbitantes poderiam ser evitados somente com a atualização de softwares. É essencial entender que os hackers muitas vezes se aproveitam de vulnerabilidades “zero-day”, que são falhas de segurança previamente desconhecidas e, portanto, sem correções disponíveis. Nesse contexto, a atualização de software deve ser quase que diária, à medida que desenvolvedores e empresas trabalham para identificar e corrigir novas ameaças a tempo hábil.
2) Senhas Robustas e Autenticação de Dois Fatores: Barreiras Efetivas para Intrusos
A criação de senhas fortes é uma das defesas mais básicas, mas muitas vezes negligenciadas, contra invasões. Evitar senhas previsíveis, como datas de aniversário ou sequências numéricas simples, é essencial. Optar por senhas complexas que misturem letras maiúsculas, minúsculas, números e caracteres especiais pode dificultar consideravelmente a ação de hackers. Além disso, a adoção da autenticação de dois fatores (2FA) fornece uma camada adicional de segurança, exigindo um segundo método de verificação além da senha, como um código temporário enviado para um dispositivo confiável. Lembrando que, com a LGPD em vigor, anotar ou compartilhar senhas pessoais torna-se uma prática passível de punição à empresa. A título de curiosidade: dependendo do equipamento utilizado por um atacante, a quebra de uma senha somente numérica e com 10 caracteres pode ser instantânea ou levar anos, caso a complexidade da senha com os mesmos 10 caracteres possua apenas um caractere especial, como um “@” ou “#”.
3) Conscientização e Educação: Escudo Contra a Engenharia Social
A engenharia social é uma tática frequentemente utilizada por atacantes para manipular os usuários a revelarem informações confidenciais. Adquirir conhecimento sobre os tipos comuns de ataques, como phishing e pretexting, pode ajudar a identificar e evitar essas armadilhas. A educação contínua dos usuários em relação às táticas de engenharia social é uma medida valiosa na defesa contra ameaças cibernéticas. É uma ótima prática para a empresa realizar ataques simulados controlados para observar na prática quais seriam as atitudes tomadas pelos usuários nessa situação e posteriormente ajustar a conduta daqueles que foram fisgados pela ação da campanha. É necessário também cuidado com as informações (os metadados) que inadvertidamente fornecemos em nossas redes sociais pessoais. Uma premissa segura é a do ‘zero-trust’: desconfiar – não clicar – não aceitar em primeira instância comunicações e pedidos desconhecidos. Neste contexto, elevar o grau de observação ao ponto de não aceitar nada inesperado, mesmo que de uma pessoa conhecida, é de bom tom – sempre que possível, confirme com o remetente da mensagem se foi ele mesmo que mandou, e mesmo assim, verifique os links e reporte caso perceba algo suspeito.
Lembre-se: em um castelo de cartas, basta uma cair para toda a pilha desmoronar!
4) Criptografia de Dados: Proteção em Trânsito e Repouso
A criptografia de dados é um método matematicamente eficaz para proteger informações confidenciais durante o tráfego online e o armazenamento. Ela permite a segurança do conteúdo dos dados mesmo que inspecionados de perto por um atacante. Através de protocolos como SSL/TLS, a comunicação entre dispositivos e servidores é codificada, tornando mais difícil para os atacantes interceptarem dados sensíveis. A incorporação da criptografia não deve ser uma tarefa árdua e certamente vale a pena todo o tempo dedicado. Além disso, a criptografia de disco rígido garante que, mesmo que um dispositivo seja comprometido fisicamente, furtado ou roubado, os dados permaneçam inacessíveis sem a chave de descriptografia.
5) Gerenciamento de Dispositivos e Acesso: Prevenção de Acessos Indesejados
O controle do acesso físico aos dispositivos é frequentemente subestimado, quando na verdade, por mais que tenham sido configurados controles a nível de software, de nada adianta caso o colaborador não tenha o espaço físico garantidamente seguro. Configurar senhas de tela bloqueada ou outros métodos de autenticação pode evitar o acesso não autorizado em caso de perda ou roubo de dispositivos. É muito importante também lembrar de bloquear a tela ao deixar o recinto. Além disso, é crucial evitar compartilhar dispositivos com indivíduos não confiáveis e utilizar recursos de rastreamento e limpeza remota para garantir a segurança dos dados em dispositivos perdidos. O ideal é que não haja esse compartilhamento, e que haja uma política de gestão dos ativos da empresa como “BYOD” ou “COBO”.
6) Cibersegurança e Trabalho Remoto: Protegendo Dados em um Ambiente Descentralizado
Com a crescente adoção do trabalho remoto, impulsionada principalmente pela evolução tecnológica e pelas circunstâncias globais, a cibersegurança se tornou uma preocupação central para profissionais e empresas. A mudança para um ambiente de trabalho descentralizado oferece inúmeras vantagens, mas também introduz novos desafios de segurança que requerem atenção cuidadosa e medidas proativas. Ao trabalhar remotamente, a proteção dos dados pessoais e corporativos é de extrema importância. Os riscos associados ao acesso a redes não seguras, dispositivos não gerenciados e ambientes fora do controle da empresa tornam essencial a implementação de medidas eficazes de cibersegurança.
Em conclusão, a segurança da informação é uma responsabilidade compartilhada entre todos os usuários e a tecnologia que utilizam. Implementar práticas simples, como manter o software atualizado, usar senhas fortes, estar atento à engenharia social, adotar a criptografia e gerenciar o acesso a dispositivos, pode reduzir substancialmente os riscos de vazamento de dados e ameaças cibernéticas. Ao incorporar essas práticas em suas rotinas diárias, os indivíduos contribuem para um ambiente digital mais seguro e resiliente, garantindo uma operação próspera para a empresa.
References:
1) Atualização de Software – O dano pela negligência (ataque WannaCry de 2017): https://www.kaspersky.com.br/blog/wannacry-history-lessons/19960/
2) Senhas Robustas – Tempo de Quebra de Senha: https://thesecurityfactory.be/password-cracking-speed/
3) Engenharia Social – O “Leitor de Mentes”: https://www.youtube.com/watch?v=F7pYHN9iC9I
4.1) Criptografia em trânsito: https://learn.microsoft.com/pt-br/compliance/assurance/assurance-encryption-in-transit
4.2) Criptografia em repouso: https://learn.microsoft.com/pt-br/azure/security/fundamentals/encryption-atrest
5) Gerenciamento de Dispositivos e Acesso: https://www.wired.com/brandlab/2018/06/byod-cyod-cope-cobo-really-mean/
6) Cibersegurança e Trabalho Remoto: https://www.binarionet.com.br/ciberseguranca-para-home-office-8-passos-essenciais/
*Caue Lugli é Analista de SOC na Safeway
How can we help?
SAFEWAY is an Information Security consulting company recognized by its clients for offering high added value solutions through projects that fully meet the needs of the business. In 15 years of experience, we have accumulated several successful projects that have earned us credibility and prominence among our clients, which largely constitute the 100 largest companies in Brazil.
Today through 25 strategic partnerships with global manufacturers and our SOC, SAFEWAY is considered one one stop shopping with the best technology, process and people solutions. SAFEWAY can help your organization with the implementation of an AI solution in a secure way. If you want more information, contact our experts!