No final das contas, não tem firewall, não tem política de segurança, não tem atualização de sistema que segure o espírito humano, o talento natural que todos nós temos de cometer aquela falha catastrófica que derruba empresas e vira manchetes.
Um levantamento recente feito pela Kaspersky Lab em colaboração com a B2B International descobriu que 42% dos incidentes de segurança são causados por você.
Sim, você mesmo. Não me olhe deste jeito.
Mas isso também inclui esse que escreve, o cara que está aí sentado do seu lado, a moça da sala no final do corredor e até mesmo aquele sênior enxerido que fica tomando café e olhando para sua tela. Todos nós, o elemento humano de uma empresa, somos o elo mais fraco, o componente responsável pela maior parte das falhas de segurança e nem nos damos conta disso. Para amenizar esse problema e botar a mão na consciência, destacamos aqui uma lista de dez falhas comuns na opinião de quem entende do assunto e que poderiam ser evitadas por todos nós:
1) Contar demais nas redes sociais…
Quem não curte uma rede social? Quem não posta fotos da sua mesa, conta o que faz, propaga aos quatro cantos que conseguiu aquela merecida promoção na empresa? Tem gente que até publica link para tabelão de senhas na rede social! Mas, segundo os especialistas de segurança, não é necessário ir tão longe para colocar a sua empresa em risco.
Apenas publicando um monte de informações sobre seu trabalho, sua posição e suas responsabilidades já pode ser inseguro. Por exemplo, um administrador de banco de dados Oracle menciona brevemente suas atribuições no Facebook e instantaneamente se torna um alvo de alto valor para ataques de engenharia social ou mesmo penetração: quem conseguir contaminar seu dispositivo, móvel ou não, já estará com um pé dentro do banco de dados da empresa.
“Essa tática é mais utilizada em ataques avançados, quando acontece um reconhecimento da empresa e seus alvos de alto nível”, alerta Rob Sadowski, diretor de tecnologias de soluções da empresa de segurança RSA.
2) Cair no golpe pelo telefone
Funcionários devem estar sempre atentos a um dos tipos de ataques mais antigos ainda em atividade: a boa e velha lorota contada pelo telefone. Antes mesmo de inventarem internet ou o termo “engenharia social”, golpistas ligam para as empresas e tentam passar a perna em que está do outro lado da linha. Com o advento de operações mais complexas conduzidas eletronicamente, o tradicional telefonema se torna uma porta de entrada para o sistema.
Jeff Schilling, chefe de segurança da empresa de proteção Armor, cita exemplos de golpes de phishing pelo telefone: “alguém liga para seu telefone de trabalho alegando ser do suporte de TI e pergunta seu nome de usuário e senha” ou então “liga para seu número e direciona para um website para baixar um programa que irá ‘atualizar’ um problema com um computador da firma’. Pode parecer um ataque ridículo, mas os especialistas apontam que nem toda a força de trabalho de uma grande empresa recebe treinamento ou está preparada para perceber as ameaças eletrônicas quando elas surgem.
3) Cair no golpe pelo email
Não se passa uma semana sem que apareça uma manchete sobre um ataque de vírus, um vazamento de dados ou um ransomware que não tenha começado a partir de um arquivo de email clicado inadvertidamente. Aposto também que se você olhar sua caixa postal agora há pelo menos um ataque desse tipo te esperando, se não estiver na Caixa de Entrada, agradeça a sua política de segurança, mas o phishing com certeza está perdido no SPAM ou na pasta de itens bloqueados.
Para Sadowski, da RSA, a regra é clara: “se você não sabe quem é o remetente ou se conhece o remetente, mas o conteúdo parece suspeito, então você precisa olhar com cuidado”. Em último caso, ele sugere que o email seja encaminhado para o departamento de TI investigar.
4) Não ligar para segredos
De nada adianta sua empresa encriptar os arquivos todos no servidor se você vai abrir aquela planilha de gastos e investimentos no meio do bar do hotel enquanto janta. Pior ainda se você deixar o notebook aberto enquanto vai dar um pulo no banheiro. A senha do seu aparelho pode conter 12 letras e números, mais alguns símbolos que nem o inventor do ASCII conhece de cabeça, se dados importantes estão ali visíveis para quem quiser ver ou até fotografar.
Mas a situação se torna ainda mais grave se o dispositivo sequer possui algum sistema de proteção mínimo, mas transporta dados confidenciais e permissões de acesso a sistemas da empresa. Um extravio ou mesmo um furto pode significar uma grave dor de cabeça para o funcionário e uma maior ainda para a empresa.
5) Ser descuidado com pen drives
O famoso pen drive é o calcanhar de Aquiles de muitos sistemas, podendo sabotar a segurança de duas maneiras distintas: um risco é o do funcionário armazenar informações importantes no dispositivo e perdê-lo. Para os especialistas, não apenas o pen drive precisa ser protegido, como os dados que passaram por ele precisam ser depois adequadamente removidos para evitar que sejam recuperados mais tarde por cibercriminosos.
Para Michael Angelo, chefe de arquitetura de segurança da Micro Focus, devem ser feitas as seguintes perguntas: “o dispositivo USB pode ser perdido ou utilizado por alguém mais? Se sim, os dados sensíveis ainda estarão ali? Em qualquer caso, os dados poderiam ser expostos no dispositivo USB?”.
Outro fator de risco dos pen drives não é o que eles podem tirar da empresa, mas o que eles podem trazer, como vetores de malware de todos os tipos, infectados em outros pontos do sistema, ou em computadores remotos.
6) Não cuidar do seu equipamento
Se você não sabe o que é Bring Your Own Device (BYOD) é quando a empresa recomenda que o funcionário traga seu dispositivo de casa, seja um notebook ou um smartphone e siga trabalhando com ele. Para empresas, isso representa uma economia de instalações, para o funcionário é a tranquilidade de poder utilizar sua configuração, suas ferramentas, suas manias.
Entretanto, isso também abre as portas da empresa para todo tipo de malware e problemas de segurança que o dispositivo pode trazer junto. Bruce Snell, diretor de segurança e privacidade da McAfee, é um grande crítico do modelo BYOD. Ele alerta que é muito comum o jailbreak de smartphones e o download de aplicativos fora das lojas tradicionais, o que é um risco de segurança gigantesco.
O especialista aponta que aqueles que baixam aplicativos fora da App Store, do Google Play ou da loja de suas operadoras estão expondo não apenas seus próprios aparelhos como também suas empresas a infecções. “Usuários deveriam se ater a lojas legítimas e principais”, alerta Snell.
7) Não se prevenir contra furtos
Se o seu smartphone foi roubado, talvez você vá dar queixa na delegacia mais próxima. Talvez, porque nos dias atuais isso não costuma resolver muita coisa (mas você deveria, assim mesmo). Mas pouquíssimas pessoas notificam o Departamento de TI de sua empresa ou mesmo seu chefe, a menos que o aparelho seja corporativo.
Nesse ponto está um grande erro. Para Andrey Pozhogin, gerente de produto senior da Kaspersky, “a maioria das pessoas falha em não notificar o departamento de TI se eles acreditam que perderam o aparelho. Eles pensam que esqueceram em casa e esperam até voltar para conferir”. Entretanto, segundo o especialista, isso apenas “dá ao atacante mais tempo para executar um ataque de força bruta para penetrar no dispositivo e comprometer toda a segurança de TI da empresa”.
Mesmo que você não guarde informações confidenciais ou credenciais de acesso no seu dispositivo, ele pode conter dados que podem alavancar uma abordagem por telefone ou phishing de email mais focada ou colocar você na lista de alvos potenciais para engenharia social ou uma tentativa de infecção que pode abrir as portas da empresa em que trabalha, alertam os especialistas.
8) Usar senhas fracas
Entra ano, sai ano, as senhas utilizadas por uma quantidade impressionante de pessoas continua fraca. Segundo um levantamento realizado pela Kaspersky, apenas 58% das pessoas utilizam senhas com o mínimo de critério. E 16% dos entrevistados revelaram que não usam senha alguma em seus dispositivos.
Sadowski, da RSA, reforça o alerta e aponta que existe entre os cibercriminosos até mesmo uma lista de senhas fracas compartilhada! “Essas são aquelas que os hackers usam primeiro”. Mas outra abordagem é aproveitar um dos inúmeros vazamentos de senhas que acontecem de tempos e tempos e testar a mesma combinação de login e senha vazados em outros serviços ou sites populares, sejam de âmbito profissional ou pessoal. Se até Mark Zuckerberg caiu em uma armadilha dessas, o que dizer de nós meros assalariados?
9) Ignorar atualizações pendentes
Quem nunca ignorou uma mensagem de atualização do sistema, quando estava ocupado com um prazo apertado ou no meio de uma apresentação? Quem nunca adiou a tal atualização por vários dias? Ou semanas? É aquela preguiça que dá de ter que fechar tudo, talvez esperar o sistema reiniciar… mas que pode custar bem caro mais adiante.
“As pessoas precisam atualizar quando elas recebem o aviso, porque isso irá torná-las resistentes a ataques”, alerta Sadowski. “Quando uma correção é publicada, frequentemente o fabricante faz isso baseado em uma vulnerabilidade de segurança que já foi descoberta, e um funcionário estará sujeito a um risco ampliado se eles não aplicarem a atualização em tempo hábil”. Isso porque cibercriminosos são oportunistas e preparam seus ataques a partir de falhas de segurança novas, para atingir o maior número de vítimas antes que a correção se propague.
1o) Menosprezar o antivírus
Há um bocado de polêmica sobre a utilidade dos antivírus nos dias atuais, mas a verdade é que eles continuam necessários, na opinião de diversos especialistas. Os usuários reclamam, mas em um mundo onde se costuma clicar em qualquer anexo de email sem pensar e se baixar qualquer software de qualquer site sem tomar cuidado, o antivírus é o mínimo que se espera para algum nível de proteção.
Snell, da McAfee, até brinca com uma das reclamações dos usuários: “eles dizem que deixa o computador mais lento. Mas eu fico imaginando se talvez não são as 30 abas de navegador que eles estão rodando”. Mas alerta: “atacantes vão atrás dos empregados primeiro e, se você não tem programas de segurança no seu dispositivo, você será comprometido. Eu vejo isso acontecendo o tempo todo.”
Uma boa prática que Snell tem visto crescer em implementação é quando a própria empresa fornece a solução de segurança para o funcionário utilizar em seu dispositivo doméstico, estendendo a proteção desfrutada no ambiente corporativo para o computador pessoal ou smartphone do empregado.
