Funcionários são risco negligenciado em planos de segurança corporativa

Controlar o acesso dos usuários e criar programas de conscientização sobre segurança da informação são práticas simples, mas fundamentais 

Empresas ainda negligenciam medidas simples de segurança, como o controle do acesso à internet, criptografia de e-mails e concessão de privilégios aos usuários dos sistemas – questões básicas que podem desencadear uma série de problemas. 

“A preocupação em combater novas ameaças faz com que a companhia fique em dúvida na hora de priorizar os ativos de TI que devem ser monitorados”, explica o especialista em segurança da informação do Arcon Labs, Wander Menezes. 

O executivo alerta que ameaças persistentes avançadas (que atingem computadores específicos com algum tipo de informação de valor) podem decorrer de falhas simples na hora de garantir a segurança dos dados, como o controle de um email. 

O ponto levantado por Menezes é corroborado por uma pesquisa recente da Intel Security, que alerta para o desconhecimento dos profissionais brasileiros sobre os riscos da falta de segurança cibernética. O relatório apontou que 46% dos entrevistados acreditam que o sucesso dos ataques se deve à falta de conhecimento do brasileiro a respeito das ciber ameaças. 

Para ajudá-lo a se proteger desses riscos, o especialista atenta para três medidas de segurança:Para ajudá-lo a se proteger desses riscos, o especialista atenta para três medidas de segurança: 

1. Todos podem ser alvo de ataque 

Todos os cargos estão sujeitos a ataques cibernéticos, não só os de chefia. Policiar os funcionários de todos os escalões é fundamental. 

“O atacante normalmente tentará agir pelo elo mais fraco da cadeia para ter mais chances de sucesso”, explica Menezes. Entre os mais citados como responsáveis por acidentes na Pesquisa Global sobre Segurança da Informação 2015 da PwC estão os funcionários internos — entre 2014 e 2013, a porcentagem cresceu 10%. 

O número não significa que os funcionários tenham comportamentos maliciosos, mas que podem, sem querer, acarretar a perda de dados por dispositivos móveis ou ser alvo de esquemas de phishing, quando informações e dados pessoais importantes são coletados por meio de mensagens falsas. 

“Um hacker pode, ao invés de atacar diretamente o CEO, focar em usuários mais comuns da empresa, que provavelmente não possuem informações valiosas, mas que compartilham a mesma rede, sendo usados como trampolim para o objetivo final”, pontua o especialista. “Por isso, a concessão de privilégios e acessos livres dos usuários às redes não é aconselhável”. 

2. De olho nos terceiros 

Garantir a segurança dos dados dos funcionários não é o suficiente. Os prestadores de serviço também podem ser alvos potenciais e causarem prejuízos substanciais, então é importante que a empresa aplique suas políticas de segurança a todos. 

“A segurança da informação é feita em camadas e o fator humano desempenha um papel fundamental, tanto para o bem quanto para o mal”, ressalta Menezes. 

Acompanhar a conduta dos terceiros garante que se comprometam com as políticas corporativas de segurança.Acompanhar a conduta dos terceiros garante que se comprometam com as políticas corporativas de segurança. 

3. Programas de conscientização 

Para assegurar o comprometimento de toda a empresa com a segurança corporativa, é preciso promover uma conscientização contínua sobre a política adotada. Esse compromisso deve ocorrer em todas as esferas e departamentos da companhia para que a segurança seja efetiva. 

“Simplesmente publicá-la na intranet não vai resolver. É recomendável que sejam estabelecidos programas de treinamento, reuniões e comunicações regulares”, sintetiza Menezes. 

Fonte: Computer World