Brasil,

As empresas precisam se proteger contra a engenharia social – e não podem esperar para fazê-lo

As companhias estão baseando sua segurança em aspectos técnicos e se esquecendo da educação dos usuários. Isso abre uma porta imensa e perigosa para os riscos traduzidos pela engenharia social

Por Fabio Ferreira

O grande volume de ciberataques, nas últimas semanas, teve grande repercussão midiática, mas não deveria surpreender. Apesar dos alertas constantes emitidos por consultorias e especialistas de segurança da informação, as empresas mostram-se mais vulneráveis do que acreditam estar. E a engenharia social é um dos maiores riscos que elas ainda não estão preparadas para enfrentar.

Engenharia social refere-se a um conjunto de técnicas que se vale de investigações pessoais, truques de persuasão e outros recursos psicológicos para explorar as vulnerabilidades da arquitetura de segurança das empresas, facilitando o uso de mecanismos como phishing ou ransonware. O ambiente mais fértil para essa manipulação são as redes sociais, onde é possível conhecer a rotina e as preferências das pessoas, para então usar essas informações de modo a induzi-las a adotar condutas maliciosas.

O Brasil está entre os maiores consumidores de redes sociais do mundo. Alguns estudos apontam um tempo médio de conexão com as redes de três horas e meia diárias, enquanto outros falam em até cinco horas. Apesar da divergência de dados, não resta dúvida de que a exposição do brasileiro a esse ambiente digital é expressiva, com vulnerabilidade proporcional.

O LinkedIn representa um risco maior, pois ali as pessoas expõem onde trabalham e os cargos que ocupam. Isso permite que criminosos enviem mensagens mais direcionadas. Porém, outras redes, como Instagram e Facebook, também abrem espaço para descobrir interesses e preferências do colaborador. Por exemplo, é bastante simples para um criminoso digital identificar que determinado colaborador gosta de golfe, para em seguida enviar uma mensagem anunciando “promoções de tacos de golfe”, ou algo semelhante, com a intenção de fisgar esse usuário para uma ação maliciosa.

Riscos desse tipo seriam menores se as normas de governança corporativa fossem mais respeitadas. Mas os fatos comprovam que a realidade está distante disso: mesmo os usuários mais conscientes não ficam alerta 24 horas por dia, o que dizer daqueles que não receberam a devida orientação. Recentemente, conduzimos um phishing simulado em uma empresa e chegamos a ter 90% de usuários clicando em um link malicioso.

Ainda que a empresa empregue bons recursos antifraude, tenha bons firewalls e uma arquitetura de segurança sofisticada, tudo isso terá pouca valia se a mensagem maliciosa é acessada no equipamento corporativo a partir de um e-mail particular. Essa é a maior porta de vulnerabilidade para ataques de ransomware.

Apenas a lei não basta

A necessidade de educar o usuário é imperiosa, mas isso não implica em aumentar a severidade da punição para quem se vê vítima dessas técnicas. Na verdade, há muito pouco a fazer em termos de punição, pois não há dolo do funcionário em acionar aquele código malicioso – são ações culposas, diferentes de um vazamento intencional de dados, por exemplo. Ensejar uma reprimenda mais pesada para esse tipo de deslize pode até descaracterizar o ambiente de trabalho, criando uma atmosfera ácida, cheia de proibições e inibidora da inovação.

Porém, a mentalidade precisa se transformar. Um exemplo perfeito do equívoco cometido pela maioria das empresas foi a primeira fase de adequação à LGPD. Esse movimento levou em conta mais os aspectos jurídicos que os técnicos. As empresas se preocuparam com termos e consentimentos, e o lado da TI ficou um pouco renegado. Não houve tanta preocupação com controle de acesso, segurança de TI e outras questões tecnológicas, que podem minimizar os riscos.

Além de investir na conscientização para a mudança de hábitos, as empresas também deveriam se preocupar com mecanismos que podem aumentar a segurança, como a virtualização dos desktops, também conhecida como VDI ou DaaS (Desktop as a Service). Esse conceito permite maior separação dos ambientes de trabalho pessoal e corporativo e garante o menor impacto possível na segurança de dados. A medida traz um ganho notável de segurança, principalmente quando aplicada a colaboradores que desfrutam de maior poder de acesso.

A segurança da informação não é feita por ações reativas e, sim, preventivas. Ainda existem empresas que não investem o suficiente em proteção por considerar que o risco de repercussões judiciais é baixo. Estão duplamente enganadas: colocam a si e aos seus clientes em posição vulnerável, e ficam sujeitas a multas e TACs (termos de ajustamento de conduta) que podem ter custos literalmente milionários – como vem acontecendo com frequência nos casos recentes.

Além dos danos já mencionados, existem outros dois prejuízos importantes. O primeiro é o impacto de imagem, que dependendo do negócio pode ser irreparável. E o outro é a paralisação da operação, imprescindível para conter os efeitos de um ataque.

A tecnologia se tornou estratégia para os negócios - e também para o crime. Por isso, as empresas precisam mudar sua abordagem, procurando criar uma cultura de segurança, até porque a responsabilidade por proteger dados é de todos que lidam com eles.

Sobre a Lozinsky Consultoria

A Lozinsky Consultoria atua na resolução de problemas complexos, posicionando a TI como pilar estratégico de negócios e eliminando as âncoras que retêm o crescimento das organizações. Possui uma equipe multidisciplinar, experiente e que reúne habilidades diferenciadas, como amplo conhecimento sobre os processos de negócios em empresas de diversos setores.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Adicionar comentário

Aja com responsabilidade, aos SEUS COMENTÁRIOS em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!


voltar ao topo