Confidencialidade de dados e informações é elementar para a segurança de qualquer estabelecimento comercial e empresarial. Para tanto, se faz indispensável o investimento em ferramentas que monitorem e alertem riscos apresentados à integridade de ambientes. Contudo, as últimas tendências da segurança da informação demonstraram que existe um fator que merece atenção especial em se tratando do tema: o humano. Amiúde estes estão em contato com ferramentas e sistemas que veiculam dados sensíveis e eles precisam estar conscientes para não cometerem deslizes e serem fisgados pelos phishings dos pescadores da web.
Phishing é um termo muito recorrente quando falamos de Segurança da Informação. Trata-se de uma técnica hacker baseada em engenharia social que almeja furtar dados confidenciais de pessoas físicas e jurídicas. Existem muitas formas de alcançar sucesso nestas fraudes online e o principal alvo são as pessoas, que se apresentam vulneráveis, muitas vezes, pela falta de entendimento e preparo para lidar com os riscos.
A forma mais comum de phishing no meio empresarial está atrelada ao disparo de e-mails para os funcionários. Normalmente são customizados de modo a chamarem atenção de quem os recebe como, por exemplo, disparo de uma nota fiscal para o financeiro, um lead para o comercial, anúncios de fornecedores para setor de compras, entre outros. Um inofensivo clique em link camuflado pode direcionar a navegação à sites maliciosos, a abertura de arquivos anexos pode dar abertura para execução de macros, dados pessoais ou da empresa podem ser solicitados em momentos que pareçam convenientes e todas estas situações favorecem a realização de golpes.
Em ambiente corporativo, o contato com informações sensíveis é constante. Perpassa projetos internos, questões de finanças, dados de clientes, funcionários, fornecedores, entre outros. Um pequeno deslize pode entregar tudo isto para criminosos resultando em disparos outros phishings customizados de acordo com as informações furtadas. Cobranças de quantias para a devolução de informações vazadas da empresa e bloqueio de acessos são outras formas de latrocínio recorrentes de vazamentos.
As formas de prevenção surgem das estratégias desenvolvidas internamente que possibilitam a criação de diversas barreiras aos ataques cibernéticos. Entre as possibilidades listamos:
• Criação de departamentos de Segurança da Informação: possibilitar que os funcionários de todas as áreas participem deste setor, desenvolvendo conscientização, estando atentos com colegas que ofereçam, de alguma forma, risco à segurança da instituição, prevendo possíveis ameaças etc;
• Investir em treinamento: cursos, palestras, eventos de segurança que informem e deem dicas para prevenção a nível empresarial. Isto pode ser promovido pelos próprios profissionais da área de TI, SI e o RH pode auxiliar trazendo pessoas de fora que abordem a proposta;
• Estabelecimento de regras para manuseio de informações: todos os funcionários devem ter extremo cuidado com as regras de armazenamento e operações de documentos e dados aos quais são responsáveis. Restringir acesso de informações específicas por cada área é outra medida que coopera com a segurança, visto que um profissional da área técnica não precisa ter acesso ao diretório do financeiro (há exceções); quanto mais preciso o núcleo de pessoas com acesso à uma informação, menos risco de vazamento haverá;
• Implantar soluções prévias para proteção de informação: monitoramento através de automatização por ferramentas que controlem dados internos, como sistemas DLP, SIEM, Firewall etc.
• Renove a abordagem convencional sobre segurança: softwares de segurança cooperam com a redução de problemas com ataques, mas não isentam totalmente a ocorrência de um. É importante a verificação de configurações para que nenhum canal fique vulnerável e que nenhum funcionário tenha acesso a informações as quais deveriam ser restritas de outros setores.
• Dissemine entre os colaboradores a responsabilidade com a segurança da empresa: é importante que todos estejam a par da responsabilidade quanto à segurança, não expondo sua companhia ao clicar em links indevidos, baixando arquivos desconhecidos e abrindo espaço para ciberataques. O departamento de TI não é o único responsável por este cuidado, e um setor de SI deve ser desenvolvido com o princípio de mobilizar o maior número de pessoas a desenvolverem discernimento e zelo pelo conteúdo que manipulam. Ademais, propagar esta responsabilidade impede que ela esteja sobre moderação de poucos indivíduos que possam agir indevidamente, causando prejuízos financeiros e à reputação da organização.
Gostou das nossas dicas de hoje? Então compartilhe com seus amigos e familiares.