Planejamento 2023: Segurança da Informação deve ser prioridade
Não é novidade para ninguém que o crime digital está em alta e que empresas de diversos segmentos vem sofrendo com ataques de roubo e sequestro de dados. Também já publicamos aqui no blog porque o Brasil é um dos principais focos das ameaças cibernéticas. Por isso, no post de hoje vamos buscar entender por que a Segurança da Informação deve ser prioridade nos planejamentos empresariais para 2023.
Ameaças cibernéticas estão em constante evolução
O mercado de tecnologia tem algumas particularidades inerentes ao setor. Uma destas características é a chamada cultura beta, que faz com que produtos e soluções dificilmente sejam considerados “prontos”. Isso mantém um olhar crítico ao que já foi criado, gerando uma rotina de desenvolvimento constante que traz aprimoramentos e melhorias em curtos períodos de tempo.
Citemos como exemplo as defesas empresariais contra invasões hacker. Ao mesmo passo em que os criminosos digitais estão criando ferramentas para invadir sistemas, profissionais de Segurança da Informação desenvolvem aprimoramentos para mitigar e neutralizar estas ameaças cibernéticas. Ou seja: por influência da cultura beta, as ferramentas de ataque nunca estão 100% prontas… Assim como as de defesa. Ambas permanecem em constante estado de evolução e atualização.
Com o nível atual dos sistemas de defesa em camadas, é improvável – mas não impossível – que hackers consigam invadir máquinas, redes ou sistemas somente utilizando força bruta.
Maioria dos ataques digitais ocorrem com “ajuda” de erro humano
Se os sistemas de ataque e defesa se equivalem, por quê há tantas invasões bem-sucedidas? A principal explicação é o fator humano. Atualmente, as principais modalidades de invasão são potencializadas por técnicas de engenharia social, que serve para ludibriar usuários-chave e fazê-los tomar a ação desejada pelos criminosos: abrir um arquivo malicioso, clicar em um link que leva a um site falso, etc.
Mesmo que a empresa conte com as mais modernas e robustas ferramentas de segurança, ainda há a necessidade primordial da criação e implementação de uma cultura de Segurança da Informação. A conscientização, treinamento e disseminação horizontal de conhecimentos e boas práticas são essenciais para a proteção dos ativos digitais das organizações, e é nesse quesito que as empresas costumam pecar.
Phishing
Phishing é uma das técnicas mais utilizadas de disseminação de arquivos e sites maliciosos. O nome “phishing” vem de um trocadilho com a palavra em inglês para pescaria, “fishing”. A prática consiste majoritariamente em forjar e-mails e mensagens que imitam algum serviço familiar ao usuário, como bancos, assinatura de TV a cabo ou até mesmo e-mails internos da empresa onde a pessoa trabalha, dispará-los de forma massiva e aguardar para ver quem morde a isca.
Ao clicar nos links presentes nos e-mails de phishing, o usuário pode ser redirecionado a um site falso que, geralmente, é uma cópia quase perfeita do site original. Ao inadvertidamente preencher seus dados de login no site falso, o usuário entrega suas credenciais como nome de usuário e senha aos criminosos que, de posse destes dados, iniciam uma série de ações ilícitas.
E-mails e sites de phishing podem também redirecionar os usuários para que realizem o download de arquivos maliciosos, infectando o computador utilizado e fazendo com que a máquina dispare e-mails maliciosos para toda a rede de contatos cadastrados ou, em casos mais graves, sequestrando o computador e a rede à qual ele está conectado iniciando um ataque de ransomware.
De acordo com o Security X-Force, relatório anual de cibersegurança da IBM, a prática de phishing foi responsável por 41% dos vetores de contaminação em 2021, contra 33% em 2020.
Sendo essa uma das práticas mais disseminadas e efetivas, é primordial que os colaboradores das empresas sejam treinados para que aprendam a desconfiar de e-mails suspeitos, identificar possíveis ameaças e reportá-las ao setor de TI para que sejam tomadas as medidas necessárias.
Vishing, ou voice-phishing
Uma modalidade derivada do phishing é o voice phishing, que possui a mesma premissa: enganar o usuário para que entregue dados ou informações sigilosas. No entanto, no vishing são utilizadas ligações telefônicas a fim de extrair informações. Este tipo de golpe não é novo, e remonta a um período pré-internet.
Porém, como são utilizadas técnicas de engenharia social para levar o usuário a acreditar que está falando com um representante do banco, um “colega novo” ou até mesmo com o RH da empresa, pode acabar inadvertidamente compartilhando informações sensíveis.
Spear phishing
A pesca com vara tem suas peculiaridades: você pode pegar um peixe, enroscar a linha e anzol em algas ou até mesmo acabar fisgando uma bota ou um pneu. Já a pesca submarina, realizada com lança e equipamento de mergulho, permite que o pescador possa selecionar e mirar no alvo escolhido com precisão.
E é exatamente isso que os golpes de spear phishing fazem: escolhem um alvo dentro da empresa e focam as técnicas de engenharia social e ferramentas de golpes digitais para extrair informações de uma pessoa específica, escolhida a dedo para os propósitos dos criminosos. Pode ser um gerente, um executivo, ou ainda profissional do setor de TI que tem acesso a todas as chaves de segurança da empresa, por exemplo.
Qualquer colaborador pode ser alvo, e é por isso que é tão importante que todos estejam preparados e saibam o que fazer caso sejam alvos de um ataque deste tipo.
Whaling
Muito semelhante ao spear phishing, mas com uma diferença crucial. Golpes de whaling miram alvos de alto escalão das organizações, geralmente de nível gerencial em larga escala ou executivo. Afinal, roubar as credenciais de acesso de funcionários de baixo escalão pode ser uma boa porta de entrada para o crime digital. No entanto, profissionais com cargos de alto escalão possuem credenciais de acesso a dados e sistemas sensíveis, cujo vazamento ou destruição pode trazer severos prejuízos para a organização.
Como vimos acima, os cibercriminosos não têm critérios claros para a escolha dos seus alvos, que podem ser tanto de níveis operacionais quanto gerenciais ou executivos. E é justamente por conta desta característica que os treinamentos em Segurança da Informação devem ser realizados de forma horizontal para todos os colaboradores, a fim de garantir que possuam conhecimentos e diretrizes para lidar com ameaças cibernéticas em todos os setores e níveis.
Smishing
Semelhante aos e-mails de phishing mas em outro formato, o smishing faz uso do mesmo conceito em outra plataforma: as mensagens SMS. Este, aliás, vem sendo um dos tipos mais comuns de tentativas de golpes digitais. É bastante provável que você também já tenha recebido mensagens SMS oferecendo emprego, dinheiro, promoções inacreditáveis ou dizendo que você ganhou um prêmio que, “para receber, basta acessar o link da mensagem”.
Esta modalidade é recorrente por conta do baixo custo de execução, aliada à desatenção dos usuários que clicam em links sem antes confirmar a procedência das mensagens recebidas.
Segurança da Informação deve ser prioridade em 2023
Cabe lembrar que os fatores expostos acima são apenas alguns exemplos de ameaças cibernéticas que rondam as empresas. Os criminosos digitais possuem um arsenal variado, com diversas formas e técnicas de manipulação para extrair informações sensíveis. Afinal, este é o caminho é mais curto e simples para realizar invasões, já que a mera força bruta computacional já não é tão eficaz para superar as defesas dos negócios.
No entanto, muitas organizações não dão a devida importância à criação e implementação de uma cultura de Segurança da Informação. Em razão disso, ainda que as defesas tecnológicas sejam robustas, estas empresas permanecem vulneráveis a ataques focados nos colaboradores.
Análise de vulnerabilidades
Para encontrar o cenário ideal de proteção para cada negócio, é altamente recomendável que seja realizada uma análise de vulnerabilidades. O procedimento consiste em realizar o mapeamento dos recursos digitais e protocolos de operação da empresa, tanto locais quanto em nuvem.
A partir deste mapeamento os analistas buscam identificar e eliminar (ou mitigar) as vulnerabilidades e brechas de segurança que possam colocar os dados e sistemas em risco. Todo o procedimento é documentado. Essa documentação serve para registro e acompanhamento das alterações realizadas, e também como ponto de partida para novas análises futuras.
PenTest: Teste de Invasão
Diferentemente da análise de vulnerabilidades, os testes de invasão – ou PenTests – têm como principal objetivo realizar auditorias de segurança. Durante um PenTest são utilizadas diversas tentativas de ataques hacker, utilizando diferentes técnicas e procedimentos. Estes ataques controlados buscam identificar e explorar possíveis brechas e vulnerabilidades que porventura estejam expostas, bem como dimensionar o impacto que teriam na operação do negócio caso fossem ataques reais bem-sucedidos.
Os PenTests são altamente recomendáveis para a otimização global dos sistemas de segurança das empresas. Afinal, estes ataques controlados são capazes de identificar as principais debilidades e pontos fracos das defesas disponíveis, orientando o planejamento orçamentário e ações de correção.
Conscientização e Treinamento em Segurança da Informação
“Uma corrente é tão forte quanto o mais fraco de seus elos”, diz o famoso ditado. E quando falamos em Segurança da Informação, o elo mais fraco da corrente somos nós, humanos, sujeitos à desatenção e falhas constantes de procedimento. Por conta desta característica, é imprescindível que sejam implementados programas de conscientização e treinamento em Segurança da Informação nas empresas para que as boas práticas de segurança sejam incorporadas à rotina do negócio.
Como vimos acima, a maior parte dos crimes digitais bem-sucedidos ocorrem por conta de erros humanos cometidos pelos colaboradores das empresas. Afinal, um clique desatento em um link malicioso de um e-mail suspeito é o suficiente para mergulhar a operação no caos. Erros simples, como deixar o computador desbloqueado e sair da estação de trabalho, ou segurar a porta para “um colega de outro setor que esqueceu o crachá”, são vulnerabilidades comportamentais muito exploradas pelos cibercriminosos.
Por isso, disseminar conhecimento sobre como os criminosos digitais atuam, quais suas técnicas, como reconhecer e como proceder diante de uma tentativa de ataque talvez seja o investimento mais importante que a sua empresa já realizou em Segurança da Informação.
Conte conosco
A Rastek Soluções em TI completou recentemente 14 anos de atuação no mercado de Transformação Digital e Gestão de TI para empresas. Com sólido portfólio de cases de sucesso na criação e implementação de políticas de Segurança da Informação, a empresa conta com profissionais altamente qualificados para análise de infraestrutura de TI, identificação e neutralização brechas de segurança.
Além disso, a Rastek possui um programa continuado de Conscientização e Treinamento em Segurança da Informação para nivelar os conhecimentos dos colaboradores de todos os setores e níveis operacionais. Desta forma, garantimos a máxima proteção dos dados e ativos digitais da sua empresa através das mais modernas ferramentas e boas práticas disponíveis atualmente no mercado de TI.
Portanto, se você tem consciência de que a Segurança da Informação deve ser prioridade para os próximos anos, basta preencher o formulário abaixo e aguardar o contato da nossa equipe.
Deixe um comentário