Segurança da informação nas empresas: comece orientando os colaboradores

A preocupação com a Segurança da Informação é um tema que precisa fazer parte da estratégia das empresas, devido ao crescimento de incidentes, os riscos que falhas de segurança podem representar e a evolução das formas de ataque na internet.

Uma pesquisa realizada pela Allianz Global Corporate & Specialty (AGCS), colocou o Brasil na quarta colocação mundial no ranking de prejuízos causados por crimes virtuais, com uma média anual de perdas causadas por ataques cibernéticos chegando a US$ 7,7 bilhões no país. Ficando atrás apenas dos Estados Unidos (US$ 108 bilhões), da China (US$ 60 bilhões) e da Alemanha (US$ 59 bilhões).

Em outra pesquisa sobre ataques virtuais, realizada pela PwC, constatou-se que o número de incidentes registrados em empresas brasileiras saltou de 2.300 em 2014 para 8.700 em 2015. Em 2015, o valor médio do prejuízo financeiro relacionado a problemas de segurança foi de R$ 9 milhões, segundo a pesquisa. Mostrou também que no Brasil a maior parte dos incidentes tem origem nos próprios colaboradores das empresas, representando 41% – acima da média mundial de 34%.

As formas de ataques na internet estão cada vez mais dinâmicas e sofisticadas, explorando de formas diferentes todas as possíveis vulnerabilidades existentes nas empresas, desde a falta de sistemas de bloqueio ou segurança, como antivírus ou proxy/firewall, até a falta de conhecimento ou atenção dos usuários ao utilizarem a internet. Inclusive, como mostrou a pesquisa da PwC, os usuários atualmente são a porta de entrada dos ataques em 41% dos incidentes.

Diante desse cenário, podemos perceber a importância de uma política completa de segurança da informação na empresas, focando em três pontos fundamentais: antivírus e sistemas de prevenção/detecção de falhas, políticas e serviços de segurança e gestão do acesso a internet e a educação e treinamento dos colaboradores!

Treinamento e educação dos colaboradores

Os criminosos tentam explorar a falta de conhecimento dos usuários e a curiosidade natural das pessoas, enviando mensagens falsas por e-mail com assuntos populares ou se passando por pessoas conhecidas e confiáveis, induzindo os usuários a clicarem em links contidos no conteúdo das mensagens, que direcionam para sites nocivos. Essa técnica é conhecida como phishing.

Esses ataques aos usuários usam técnicas de engenharia social e são cada vez mais personalizados. Por exemplo, com o envio de mensagens de profissionais interessados em trabalho para o setor de RH da empresa ou ainda se passando por fornecedores em mensagens para setor de compras. Um pesquisa realizada pela Intel, mostrou que apenas 3% dos usuários são capazes de identificar um ataque de phishing.

Em 2015, a empresa JBS fez um teste com seus 30 mil colaboradores enviando um e-mail com conteúdo informando que o jogador Neymar estaria saindo do Barcelona e iria jogar em outro clube. Ao clicarem no link da mensagem os usuários foram direcionados para uma página que informava que este poderia ser um site nocivo e causar danos ou falhas de segurança. A taxa dos usuários que clicaram no link ficou em torno de 10% dos 30.000 colaboradores, onde o recomendado é que fique abaixo de 5%.

Após um colaborador clicar em um link malicioso e acessar o site nocivo, são instalados “malwares” ou algum vírus, que podem infectar não só o computador, mas toda a rede da empresa. Com esses programas instalados, os criminosos podem capturar senhas, dados financeiros de acesso a contas em banco ou cartão de crédito, roubar ou sequestrar informações sigilosas da empresa e várias outras formas de ataque.

Então, para orientar os colaboradores a identificarem possíveis riscos, é necessário criar programas de orientação sobre os riscos de segurança, as formas de ataque e os possíveis danos. O recomendado é que a empresa tenha uma política de acesso a internet bem clara e difundida, que descreva como os equipamentos de tecnologia podem ser utilizados, que tipo de conteúdos podem ser acessados e em que situação ou condições podem ser utilizados.

Também é recomendado criar materiais educativos para treinamento, como vídeos explicativos ou cartilhas com orientações de como utilizar a internet de forma segura. Dois pontos importantes a serem abordados, que são a causa da maioria das falhas, são a utilização de senhas seguras e cuidados necessários ao clicar em links de mensagens ou sites desconhecidos, que direcionam para sites nocivos.

Compartilho dois materiais que abordam esses tópicos e podem ser usados para orientação dos colaboradores:

  • Guia para criação e gerenciamento de contas de usuário e senhas seguras
  • Manual de utilização segura da internet para profissionais e empresas

Também é importante entender que a responsabilidade pela segurança da informação não deve ser somente do setor de TI, mas sim fazer parte da estratégia de gestão de pessoas e recursos em todo ambiente corporativo.

Antivírus e gestão do acesso a internet

Como vimos, a segurança da informação deve abordar também a utilização de sistemas de prevenção ou detecção de vírus, os tão conhecidos antivírus. Para isso, podem ser utilizadas soluções gratuitas como AVG ou Avast, ou soluções pagas como Kaspersky, Bitdefender ou McAfee. O mais importante é que o antivírus esteja sempre atualizado e devidamente configurado, para que evite a instalação de vírus e identifique qualquer ameaça.

Também é fundamental a utilização de serviços para segurança e gestão do acesso à internet, que permitem um controle eficiente do que pode ou não ser acessado na rede e impedindo o acesso por parte dos usuários a sites nocivos. Existem inúmeras alternativas de serviços que permitem essa gestão, desde soluções tradicionais de servidores com proxy/firewall, soluções de UTM ou appliance, até soluções mais modernas baseadas em nuvem que permitem a implementação e gerenciamento desses serviços de forma simplificada e com menor custo operacional e financeiro.

Podemos perceber que se manter protegido na internet não é uma tarefa simples, é preciso comprometimento com a segurança e um conjunto grande de medidas, que envolvem a educação dos colaboradores e utilização eficiente de sistemas e tecnologias de proteção e controle de recursos.

Mas também podemos concluir que é imprescindível atenção a esse assunto, considerando o aumento dos crimes na internet e os prejuízos que possíveis ataques podem gerar para as empresas.

Compartilhe nos comentários como sua empresa encara os riscos de segurança da informação e quais medidas são usadas na prevenção.

Fonte: Profissionaisti