Dejan Kosutic Isto pode ser difícil de acreditar, mas é verdade: 59% das violações de dados acontecem não por conta de algum hacker esperto que quer prejudicar sua organização; estas violações estão ocorrendo por conta de seus próprios empregados.
Como argumentei em meu artigo Como uma mudança de pensamento pode parar 59% dos incidentes de segurança, de forma a parar estes incidentes, você tem que focar em duas coisas (além de investir em novas tecnologias): definir seus processos e procedimentos internos corretamente, e treinar seus empregados e torná-los cientes de ameaças à segurança.
Neste artigo abordarei o Segundo assunto: quais tópicos incluir em seu programa de treinamento e conscientização em segurança. As sugestões abaixo são aplicáveis independente se seus empregados estão usando smartphones ou computadores, ou se eles estão usando seus próprios dispositivos ou equipamento da organização.
1) Autenticação
Claro, seus empregados devem usar senhas complexas, e nunca contar estas senhas para alguém.
Isto porque se o computador, laptop, smartphone, ou qualquer dispositivo deles for roubado, o ladrão não apenas controlará todos os dados deste dispositivo – ele também será capaz de penetrar na rede de sua organização e criar o caos nos dados de sua organização.
A boa prática é usar softwares especiais chamados gerenciadores de senhas, por que com tais softwares seus empregados precisarão lembrar de apenas uma senha complexa, enquanto que o gerenciador de senhas irá lembrar de todas as outras. E a coisa boa é que o mesmo gerenciador de senhas pode ser usado para todos os dispositivos do empregado.
Adicionalmente, para os serviços mais importantes como email e compartilhamento de arquivos, seus empregados deveriam considerar usar técnicas mais avançadas como autenticação de dois fatores – tais técnicas estão atualmente disponíveis gratuitamente em muitos dos provedores de serviço em nuvem, e proveem um nível maior de segurança mesmo se as senhas forem comprometidas. Estes sistemas de autenticação de dois fatores podem trabalhar em conjunto com um telefone (enviando uma mensagem de texto para um usuário legítimo) ou com o uso de chaves USB especiais – sem elas, o acesso a conta não seria permitido.
2) Conexão de rede
Infelizmente, conexões sem fio têm se provado serem muito inseguras. Por exemplo, seus empregados deveria evitar conexões Bluetooth sempre que possível, porque já foi provado que elas são as mais fáceis de se invadir.
Redes Wi-Fi públicas frequentemente não são muito melhores – hackers configuram tais redes em locais públicos, alegando serem provedores legítimos, com o propósito de ganhar acesso ao tráfego de Internet dos usuários. Desta forma, eles podem acessar todas as senhas e outras informações sensíveis. Assim, uma pessoa deveria ser muito cuidadosa com quais redes ela se conecta.
Se a rede Wi-Fi doméstica ou de escritório é usada de forma imprópria, ela também pode ser a causa de uma violação de segurança – novamente, as senhas no roteador devem ser complexas o bastante, e a criptografia WPA2 deveria ser utilizada.
A conexão com a Internet através de provedores de telecomunicações móveis (i.e., 3G ou 4G) é considerada a conexão wireless mais segura, mas frequentemente é a mais cara. Claro, fazer uso de uma linha fixa é mais seguro do que qualquer conexão wireless.
Existe um método que torna a comunicação muito mais segura a um custo relativamente baixo: usar o serviço VPN. Este é um método onde todos os dados que são transmitidos são criptografados antes de deixar o computador, sendo que esta é provavelmente a melhor forma de mantê-los seguros.
3) Acesso ao dispositivo
Seus empregados nunca deveriam prover acesso aos seus dispositivos a ninguém; OK, em alguns casos eles irão querer que seus conjunges ou filhos acessem seus computadores para, por exemplo, jogar ou fazer comprar. Mas, em tais casos, eles deveriam abrir uma conta separada em seus sistemas operacionais para permitir que esta pessoa acesse o computador; tal conta não deve ter privilégios de administrador porque então eles serão capazes de (inadvertidamente) instalar softwares maliciosos.
Permitir que alguém acesse a mesma conta em um computador é um enorme risco de segurança – esta pessoa não tem que fazer nada malicioso – basta que elas apaguem alguns arquivos por engano, ou executem algum programa que não era para ser rodado.
4) Segurança física
Dispositivos móveis, incluindo laptops e smartphones, estão entre aqueles que mais frequentemente são alvo de ladrões – não apenas porque eles querem revender o dispositivo, mas também porque eles sabem que os dados nestes dispositivos podem ser bem mais valiosos.
Senso assim, aqui estão algumas dicas sobre como proteger um dispositivo móvel:
- Dispositivos móveis nunca deveriam ser deixados no carro.
- Eles nunca deveriam ser deixados sem supervisão em locais públicos tais como conferências, aeroportos, refeitórios, transporte público, etc.
- Os dispositivos deveriam ser mantidos com o usuário todo o tempo, ou armazenados em um local sem acesso ao público – e.g., uma sala ou escritório que é trancado quando ninguém está presente.
5) Criptografia de dados
Não importa o quão cuidadosos seus empregados sejam, um laptop ou um smartphone ainda pode ser roubado. É por isso que você deveria pedir a eles para proteger todos os seus dados (ou ao menos os mais sensíveis) com criptografia. Isto ainda não é fácil com smartphones, mas esta funcionalidade está incluída em muitos sistemas operacionais de computadores – ela precisa apenas ser ativada.
Uma vez que muitos dos dados são agora transferidos ou arquivados na nuvem, criptografar tais dados faz sentido. Muitos provedores de nuvem alegam que eles criptografam os dados em seus sistemas; contudo, pode ser melhor criptografar os dados antes deles irem para a nuvem – você nuca sabe o quanto você pode confiar no provedor.
6) Backup
Se dados são perdidos, e tudo o mais falha, o backup é geralmente o último recurso – em muitos casos, o backup salvou não apenas dias, mas também meses ou anos do trabalho de alguém.
Assim, assegure que seus empregados tenham o sistema de backup adequado em operação (muito frequentemente um simples serviço de nuvem será o suficiente), mas também que o backup seja atualizado regularmente. Um ponto de atenção: ter um Sistema de backup significa que os dados estão armazenados em ao menos dois locais – e.g., em um computador e na nuvem. Isso significa que manter os dados apenas na nuvem não constitui um verdadeiro backup.
7) Instalação e correção de software
Primeiro de tudo, você deveria prover uma lista de softwares permitidos aos seus empregados, e permitir a instalação nos dispositivos apenas de softwares que são usados para fins de negócio. Muito frequentemente, existem jogos ou softwares utilitários que são oferecidos como download gratuito na Internet, apenas para se descobrir depois que eles foram usados por hackers para infectar com vírus os computadores de seus empregados com o propósito de extrair informações.
Infelizmente, o software aprovado também terá vulnerabilidades de segurança, permitindo que softwares maliciosos sejam instalados no dispositivo – é por isso que é crucial instalar todas as correções de segurança assim que são publicadas. O melhor seria pedir aos seus empregados que configurem suas atualizações para serem instaladas automaticamente.
8) “Higiene” de segurança básica
Existem algumas práticas de segurança que deveriam ser consideradas normais, como por exemplo:
- Seus empregados deveriam instalar software de anti-vírus software, e habilitar sua atualização automática.
- O firewall no computador deveria ser ativado, e o tráfego permitido deveria ser selecionado com muito cuidado – apenas as aplicações que são confiáveis deveriam ser permitidas de se comunicar com a Internet.
- Links em emails deveriam ser clicados com muito cuidado – alguns links podem levar seus empregados a websites infectados, e basta que um visitante passe uma fração de um segundo em websites deste tipo para que um vírus contamine o computador.
- Similarmente, surfar na Internet em sites suspeitos deveria ser evitado – como explicado, alguns destes websites são desenvolvidos com o único propósito de espalhar softwares maliciosos.
- Transferir dados com pen drives USB deveria ser evitado – eles são a forma mais fácil de infectar um computador com um vírus, porque é muito difícil para um programa malicioso uma vez que o dispositivo está fisicamente conectado ao computador.
Invista sabiamente em sua segurança
Claro que, cada organização terá que adaptar seus programas de treinamento e conscientização de acordo com suas próprias necessidades, assim você não deveria considerar estes 8 itens como uma lista definitiva. O melhor seria usar um framework como a ISO 27001, a norma líder em segurança da informação, para prover a você orientação detalhada sobre como realizar treinamento & conscientização em segurança. Veja também: Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301.
Não importa como você treina seus empregados e como os torna conscientes da segurança, lembre da coisa mais importante: simplesmente comprar nova tecnologia não aumentará seu nível de segurança; você também tem que ensinar ao seu pessoal como usar a tecnologia apropriadamente, e explicar a eles porque ela é necessária em primeiro lugar. De outra forma, esta tecnologia apenas se tornará o que os donos do negócio mais temem: um investimento desperdiçado.
Clique aqui para fazer o download gratuito de uma ISO 27001 awareness presentation que ajudará você a explicar o básico desta norma de segurança da informação para os seus empregados.
Nós agradecemos a Rhand Leal pela tradução para o português.
