Atualmente, as principais causas sobre a segurança da informação estão ligadas à vulnerabilidade técnica, portas abertas, problemas de hardware ou até mesmo o uso de softwares não licenciados, aumentando a possibilidade de ameaça. Ou seja, essa perspectiva permite perceber que a principal causa do comprometimento de segurança da informação também pode estar relacionada com o fator humano.
Através desta análise inicial fica claro de que qualquer usuário pode ser atacado, pois o ser humano será o ponto mais frágil e, portanto, um alvo crítico para as técnicas de engenharia social, com a manipulação de vulnerabilidades humanas para a criação de oportunidades para golpes, roubos e invasões. Ataques como, por exemplo, phishing, smishing, spear phishing e whaling, tipo de ataques focados em altos executivos e figuras públicas, reforçando o termo em inglês para “peixões” e “baleias”, todos são baseados em situações em que a vítima pode fornecer ao fraudador as informações ou recursos desejados, fazendo com que o antivírus ou firewall sejam pouco efetivos contra essas ameaças.
Os ataques citados acima são apenas uma pequena ponta de um iceberg muito maior, repleto de ações mais sofisticadas e elaboradas, como sequestro de dados (Ramsonware), Shadow IT, roubo de informações sensíveis de usuários e segredos corporativos. Vazamentos de dados, sejam pessoais ou empresariais, podem comprometer a reputação e credibilidade de qualquer indivíduo ou instituição, porém são comuns e fazem parte do dia a dia de todos os negócios, obrigando qualquer marca a trabalhar na prevenção e proteção de dados.
Cada vez mais temos a sensação de que é impossível vivermos sem riscos e de que não existe segurança absoluta para sistemas, desde os mais simples aos mais complexos. Para isso precisamos implementar processos e protocolos que contribuam na mitigação de riscos, além de pensarmos em como criar contingências, fortalecendo sempre o ponto mais fraco e apoiando o fator humano.
Para pessoas físicas, a recomendação é o uso de programas gerenciadores de senhas longas e a autenticação de duplo fator. A contratação de VPN para utilizar durante o acesso de redes públicas, além da criação de backup com dados semanais e mensais. Ainda que exija conhecimentos mais avançados, também vale investir na encriptação para o armazenamento de dados, porém o básico deve ser feito diariamente, criando o hábito de nunca clicar em links desconhecidos, principalmente enviados por fontes que você não conhece.
As empresas, com suas estruturas de TI, precisam adotar frameworks de segurança e governança baseados em ITIL e Cobit, implementando processos, procedimentos e indicadores que, quando bem implementados, podem criar estruturas de rotinas bem definidas. Trabalhar na documentação também limita a responsabilidade individual e diminui drasticamente a dependência de apenas uma pessoa específica para replicação de processos, diminuindo também a necessidade da tomada de decisão individual para a realização de qualquer procedimento. Elaborar estratégias de contingências é fundamental, pois quando tudo der errado, a empresa conseguirá dar continuidade aos negócios.
Evite depender apenas dos sistemas e o seu departamento de TI, pois ao olharmos para toda a estrutura interna, a necessidade de criar programas para treinamento e capacitação dos colaboradores se torna cada vez mais importante, fazendo com que o fator humano deixe de ser o elo mais fraco na segurança da informação e contribua para todos os esforços conjuntos da empresa.
Ao invés de entrarmos em pânico, pensando em desligar a internet e não utilizarmos nossos notebooks e celulares, para somente assim conseguirmos evitar qualquer tipo de ameaça, todos nós precisamos ter conhecimento sobre os ataques existentes e como podemos contribuir para evitá-los, propagando conhecimento e não desinformação.
Agradecemos ao Ney Uchida (Gerente de Serviços) pela contribuição e apoio na construção deste conteúdo.
