Autor: Carlos Rodrigues
Qualquer gestor de TI sabe que o maior problema de segurança não são os hackers, nem as falhas de segurança dos sistemas, nem as brechas, e sim as pessoas que trabalham em uma organização. Uma ressalva importante neste início: lógico que não estamos falando para você se livrar das pessoas, mas estamos dizendo que é necessário ir além do que gestores de TI fazem hoje para resolver os problemas envolvendo os usuários e a segurança.
Tradicionalmente, o gestor de TI relega seus usuários ao posto de… Usuários. Pouco envolve seus colegas – funcionários da mesma empresa – nos processos necessários para a manutenção da segurança da informação. E feliz ou infelizmente, boa parte das falhas de segurança acontece pelo desconhecimento ou maus procedimentos das pessoas.
Um caso clássico disso é o da Target, cujos funcionários terceirizados – ponto inicial da invasão – tinham acesso com privilégios superiores aos necessários. Outro exemplo clássico são os e-mails de phishing, o mau uso dos equipamentos portáteis… A lista é longa. Mas o que o gestor de TI pode efetivamente fazer para mitigar o risco do uso da engenharia social pelos cibercriminosos?
A primeira ação é estreitar os controles, e isso não significa simplesmente limitar o acesso à web. Para ter uma ideia, em 2013 produzimos 4,4 zettabytes de dados, de acordo com um estudo publicado em abril passado pela EMC. Isso é muita coisa – e aposto que o ambiente interno da sua organização deve ter visto o crescimento exponencial do storage para armazenamento de arquivos produzidos. Como controlar o que é sensível e o acesso em um universo de dados? Existem tecnologias específicas que trabalham numa camada invisível dentro da organização e cujo impacto de implementação é enorme.
Além das ferramentas, é necessário que o gestor de TI seja proativo e adote uma postura diferenciada em relação ao usuário. É importante ter campanhas educacionais para mostrar ao usuário de TI o que fazer e como usar os recursos. Uma ideia mais interessante, que não é exatamente nova e que poderia ser utilizada em segurança, foi inspirada no “Chaos Monkey”, criado pela Netflix. Em 2010, a empresa apresentou uma solução interessante para testar a sua tecnologia: um software que desativa aleatoriamente instâncias e serviços dentro da arquitetura da empresa, com o objetivo de testar a reação da empresa a falhas.
Imagine testar o comportamento do seu usuário e da sua equipe de segurança preparando uma série de testes: e-mails de phishing com diferentes tipos de engenharia social, explorando brechas nos controles de firewall, entre outros exemplos. Demonstrar efetivamente aos usuários o que estão fazendo de errado e, mais do que isso, comunicar diretamente àqueles que realmente “caíram” nas armadilhas é muito mais efetivo do que campanhas educacionais. Do mesmo modo, ativar supostas invasões em falhas de segurança encontradas no seu ambiente de rede vai mostrar na prática à sua equipe de segurança as fraquezas encontradas.
Essa é nossa proposta para os gestores de TI: se você quer mostrar ao seu time e aos seus usuários o quão séria pode ser uma falha de segurança que começa com um clique num e-mail, esse é o melhor tipo de ferramenta. Se os hackers utilizam a engenharia social, por que não usarmos um tipo de engenharia social reversa para expor e corrigir as falhas? Tenho certeza de que isso vale por várias palestras, reuniões e comunicados internos.
Carlos Rodrigue é country manager da Varonis.
