4 atitudes que comprometem a segurança digital de sua empresa
Em maio, um ataque cibernético global espalhou o caos por organizações públicas e privadas em 150 países, incluindo o Brasil. Tratava-se do Wannacry, um ransomware, ou seja, um software malicioso capaz de bloquear o acesso a arquivos e sistemas, que só são liberados mediante o pagamento de um resgate. Em junho foi a vez do Petya praticar sequestros virtuais; em agosto, divulgou-se o retorno do ransomware Mamba. Ainda neste mês, outro crime digital ganhou as manchetes mundo afora: o roubo de conteúdo inédito da HBO, incluindo episódios de “Game of Thrones”, série de maior sucesso da companhia.
É natural que, diante dessa sequência de cibercrimes, corporações de todo o mundo busquem formas de reforçar sua segurança no ambiente virtual. Para isso, o primeiro passo consiste em identificar quais são, afinal, as principais fontes de risco.
Esse é o tema de um relatório desenvolvido pela Aker N-Stalker, empresa com foco em segurança cibernética. O trabalho foi apresentado na Conferência Internacional Gartner Securty & Risk, realizada este mês em São Paulo. Dos problemas identificados, selecionamos quatro que se referem a ações do dia a dia:
1. Baixar programas sem a autorização do administrador do sistema
Esse conjunto de aplicações e dispositivos forma o que especialistas chamam de “zona de sombra de TI”, uma área desconhecida que passa a integrar a rede corporativa, mas não consta do inventário de entidades do sistema. Pode ser a porta de entrada para malwares.
2. Usar, no meio corporativo, as mesmas senhas adotadas em sites externos
A questão das senhas é antiga e cada vez mais grave. Segundo o estudo, além de muitos funcionários utilizarem o mesmo código de acesso em várias aplicações, são comuns os casos de colegas que compartilham senhas da empresa entre si (e até com terceirizados) e a criação de senhas temporárias que não são desativadas após o prazo previsto.
3. Em prol da agilidade, ignorar protocolos de engenharia segura
Criadores de aplicativos costumam trabalhar com prazos muito curtos, para não perder janelas de oportunidade em um ambiente cada vez mais competitivo e dinâmico. Isso pode comprometer a adoção de protocolos importantes, que deixam o resultado mais seguro, mas ao mesmo tempo tornam o processo mais lento e burocrático. Ainda é preciso criar um modelo capaz de aliar cautela, rapidez e desenvolvimento colaborativo.
4. Contentar-se com firewall e antivírus
A estratégia de segurança precisa ser bem mais abrangente que isso. Ela deve incluir, por exemplo, a varredura constante de vulnerabilidades e a definição de padrões de conduta claros para todos os funcionários. Além disso, vale a pena definir um plano de ação para minimizar os danos de uma possível invasão do sistema.
E o pentest?
O termo se refere a uma bateria de testes que são realizados por um hacker contratado pela empresa, com o intuito de mapear e expor todas as falhas que poderiam levar ao acesso não autorizado de uma rede ou sistema. “Depois do Wannacry, todo mundo quer contratar esse serviço”, conta Rodrigo Fragola, CEO da Aker N-Stalker. Mas ele observa a tendência com ressalvas. Um dos problemas, segundo Fragola, é que o ambiente digital de uma corporação é hoje muito mais complexo do que dez anos atrás, quando os pentests começaram a se disseminar. “Se antes o cliente contava com 5 apps, hoje ele tem mais de cem, que passam por atualizações constantes. Em um mês, surgem de 500 a 800 novas vulnerabilidades.” Ou seja, o pentest pode ficar defasado logo após ser concluído.
Diante disso, o monitoramento das falhas do sistema também se encaminha para a automação. Segundo ele, embora os hackers continuem a ser necessários para análises específicas, já é possível automatizar a maior parte da busca por vulnerabilidades, o que resulta em um monitoramento mais ágil e preciso. “Assim, fica viável fazer um teste por semana, por exemplo, além de saber quais dos problemas precisam ser corrigidos primeiro”, afirma Fragola.