*Carolina Fernandes
Tecnologia, Processos e Pessoas
É o famoso tripé que todos precisam observar quando o objetivo é alcançar a eficiência na Segurança da Informação. A tecnologia envolve as ferramentas e soluções para prevenção, detecção e recuperação de qualquer incidente de segurança, processos implica em todos os mecanismos, normas e procedimentos envolvidos na estratégia de Segurança da Informação, alinhado com as áreas de negócios da organização. E por último, pessoas, o assunto central desse artigo e que será abordado a partir daqui.
Engenharia Social
Os profissionais de Segurança da Informação consideram o fator humano o elo mais fraco em relação aos outros pilares (tecnologia e processos). O motivo, é a existência da Engenharia Social, um método de ataque quase sempre eficaz onde o engenheiro social usa a persuasão para obter as informações ou o acesso (físico e/ou lógico) que deseja. Os principais métodos desse tipo de ataque, são:
• Baiting: É uma atividade pouco trabalhosa para o engenheiro social, ele deixa algum item ou informação a disposição do alvo, por exemplo um CD ou pen drive com um nome chamativo como: “Promovidos do próximo ano” em algum local visível e que possa gerar uma certa curiosidade no indivíduo para induzi-lo a inserir o dispositivo móvel e realizar a execução/ instalação do conteúdo infectado contido na mídia.
• Phishing: É uma das técnicas mais utilizadas e com alto índice de sucesso, principalmente no ambiente corporativo. As principais características no phishing via e-mail são de possíveis pedidos de confirmação da identidade do indivíduo, solicitação de atualizações e/ou validação de acesso em algum aplicativo ou site que requer que você clique em um link específico ou abra um anexo e execute o conteúdo malicioso, com o intuito de roubar as informações que foram requisitadas. Geralmente utilizam e-mails de gestores e de colaboradores que possuem um cargo alto dentro da organização para gerar credibilidade a solicitação, estes e-mails são hackeados e o destinatário será o invasor que receberá as informações indevidamente.
• Spear phishing: É focado em alguma organização específica. O engenheiro social se passa por algum executivo de alto nível da organização e aborda os funcionários a fim de obter as informações que necessita. A taxa de sucesso desse ataque é extremamente alta pela razão de que os funcionários não costumam duvidar ou questionar os seus superiores dentro da organização.
Prevenção
Mesmo que existam diversos métodos de ataques de Engenharia Social, algumas atitudes básicas previnem muitos deles.
• Se policie em falar sobre informações confidenciais ou reservadas da sua organização em público;
• Verifique sempre se o papel que está jogando no lixo não contém alguma informação confidencial que necessite ser fragmentada e descartada em um local específico;
• Nos casos dos telefonemas e e-mails, confirme a veracidade do contato antes de passar qualquer informação;
• Evite postar muitas informações sobre sua vida pessoal e profissional dentro das redes sociais.
O investimento no item “Pessoas”
O sucesso da Engenharia Social depende exclusivamente do usuário e/ou funcionário não conseguir identificar a situação em que está sendo exposto. Para os pilares Tecnologia, Processos e Pessoas ser eficaz, se faz necessário investir fortemente no item “Pessoas”, esta base se tornará um fortalecedor potencial para os outros dois itens. Os esforços para investir em soluções, ferramentas, políticas e normas bem definidas serão ineficazes se o seu funcionário/usuário não for instruído corretamente. Por exemplo, não divulgar sua senha, compartilhar informações sensíveis para pessoas não autorizadas, ou até mesmo a falta de conhecimento sobre as políticas e sanções existentes na empresa. Por outro lado, se o funcionário/usuário agir em conformidade com todos os controles internos existentes, entender a necessidade da organização, utilizar corretamente os recursos tecnológicos para proteger a informação e principalmente entender a importância do seu papel em relação a segurança das informações, os controles aplicados a “Tecnologia” e “Processos” se tornarão mais sólidos e consistentes.
As organizações precisam instruir seus colaboradores para que tenham o poder de reconhecer potenciais ameaças. Não existe um modelo perfeito que irá garantir a capacitação de 100% das pessoas, porém persistem alguns pontos que são essenciais:
• Instrua o funcionário e mostre para a ele, casos reais de como a utilização de redes sociais utilizadas de maneira incorreta, podem acarretarem vulnerabilidades reais para a organização.
• Realize palestras de conscientização, utilização de cartilhas e meios descontraídos como jogos, Quiz e aplicativos para fortalecer a absorção da informação.
• Realize periodicamente testes com os funcionários simulando os diversos tipos de ataques para verificar a maturidade do entendimento e comprometimento com a Segurança da Informação. Após a aplicação e coleta dos resultados realize uma palestra sobre como a organização seria afetada caso este ataque fosse real e quais seriam as medidas técnicas e administrativas utilizadas para sanar este desvio. Lembrando que os colaboradores devem ter ciência das medidas disciplinares da empresa, em caso de vazamento indevido de informações.
Tenha sempre em mente que o ponto essencial para o sucesso da sua organização será adequar primeiramente a sua cultura, instruir os colaboradores e ter a consciência da importância de seguir as boas práticas definidas.
*Carolina Fernandes é Trainee da Safeway Consultoria.
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!