Eis uma ameaça à segurança que não se
pode combater com tecnologia. Prevê-se que ameaças à engenharia social estão
surgindo. Mas, o que é engenharia social? Se você está fazendo essa pergunta,
pode ser a hora de melhorar sua segurança de TI.
Uma nova e traiçoeira ameaça à
segurança da TI surgiu, da qual nem mesmo firewalls, senhas e dispositivos de
segurança podem proteger você. Essa ameaça é a engenharia social: um tipo de
fraude na qual os profissionais obtêm informações ou acesso ao sistema do
computador por meio de artifícios ou trapaças contra uma pessoa. No mundo da
segurança corporativa, seus funcionários, e não sua tecnologia, são aqueles que
apresentam a maior vulnerabilidade à engenharia social.
Um relatório recente que aborda a
ameaça da engenharia social à segurança da informação indica que 48% das
empresas já sofreram ataques da engenharia social. O mesmo relatório, apresentado
pela Dimensional Research,
mostra que 34% dos participantes da pesquisa não instrui seus funcionários
sobre tais perigos. Embora ter um engenheiro social de boa fé ao seu lado
pareça ser ideal, nem sempre isso é possível. Sua melhor saída é pensar como os
fraudulentos e manter seus funcionários (frequentemente o elo mais fraco) bem
informados.
O que veio primeiro: o hacker ou a
necessidade de impedí-los? No caso da engenharia social, não se
trata da questão do ovo e da galinha. Aqui, há uma causa evidente. E se você
conseguir pensar como um engenheiro social, considere isso como sua passagem
para a segurança no emprego.
É possível combater o fogo com o
fogo? De
acordo com o ex-hacker, renomado mundialmente, Gregory Evans, os gerentes de
TI não têm conhecimento o bastante sobre segurança. Confiar unicamente na
equipe de TI para impedir que hackers acessem seus dados é como depender
somente da infantaria, diz Evans.
Ele acredita que você precisa de segurança equivalente aos SEALs da marinha
americana, que são conhecidos sobretudo por seus papéis nada convencionais nas
guerras.
Alguns alegam que isso é como
contratar um incendiário para apagar incêndios. Porém, em relação à segurança
da empresa, existe motivo para confiar naqueles que sabem como enganar? Talvez.
Os tradicionais profissionais da TI
seguem as regras à risca. Eles estudam, aprendem e passam em todos os testes
corretos. Os hackers e os engenheiros sociais, por outro lado, fazem qualquer
coisa menos seguir as regras. De acordo com Evans, é possível planejar tudo o
que quiser em um ambiente controlado, mas no final você estará batalhando
contra o caos.
Você está em risco esteja você ciente
disso ou não.
Em agosto do ano passado, a DefCon, a maior convenção de
pirataria cibernética do mundo, mostrou que grandes empresas não são somente
vulneráveis, mas também alvos fáceis. Na verdade, os participantes da convenção
que fizeram parte de um jogo de hackers acharam a tarefa tão fácil quanto
atender um telefone. Em um dos casos, um falso administrador de TI, que
precisava de informações, foi persuasivo o bastante para que um funcionário
compartilhasse informações de bom grado.
O fato é que, uma vez que haja
humanos para impedir, haverá estratégias de engenharia social para enganar.
Homens “venderam” a Torre Eiffel e a Ponte do Brooklyn. Outros fizeram a limpa
em contas bancárias com esquemas Ponzi complexos. O que é mais surpreendente é
que esses fraudulentos encontram pessoas que caem em suas conversas. Por isso,
quando um funcionário novo recebe uma ligação de alguém alegando ser da TI,
tenha certeza de que ele conhece o protocolo.
Os funcionários são sua maior brecha
Funcionários mal treinados são uma
enorme responsabilidade, mas mantê-los conscientes dos riscos pode devolver a
você o controle. Saber que os engenheiros sociais procuram rachaduras na
armadura de sua empresa ajuda você a se manter um passo à frente da insensatez.
De acordo com a Network World,
todo funcionário é um alvo viável. Oitenta por cento dos enganados não são os
“figurões” com acesso a todos os dados importantes, eles são funcionários
comuns.
É extremamente difícil se manter despercebido hoje em dia.
Afinal, há uma infinita quantidade de informações prontamente disponível nos
sites de mídia social. Os engenheiros sociais estão bem cientes do valor que
essas informações representam. Não somente estão disponíveis gratuitamente para
o acesso, mas também preenchem lacunas de estratégias para completar
ataques. Os profissionais de TI que entendem esses riscos e conseguem
transmitir o conhecimento adequado aos funcionários que costumam se apresentar
como a maior ameaça à segurança da organização estão com alta demanda. Eis
algumas das melhores práticas que todos os profissionais de TI devem
compartilhar com funcionários:
·
Treine os funcionários, mantenha-os
atualizados e conscientize-os de seu papel potencial;
·
Sugira a implantação de configurações
de privacidade mais rigorosas em sites de mídia social que disponibilizam
informações profissionais
·
Restrinja o uso do e-mail da empresa
para uso pessoal
·
Mantenha uma política de segurança no
âmbito da empresa, a qual aborde expectativas e melhores práticas
·
Mantenha um treinamento contínuo
·
Seja um herói da segurança
O objetivo é proteger sua empresa e
seus dados de engenheiros sociais desonestos; faça isso e você será
insubstituível. Lembre-se, os principais aspectos aprendidos são:
·
Ter consciência da ameaça
(engenheiros sociais procuram pessoas que baixem a guarda)
·
Saber pensar como o inimigo
(significa manter-se sempre informado)
·
E talvez o mais importante seja saber
como treinar seus funcionários (eles são sua primeira linha de defesa)
·
Se não for possível contratar
segurança do nível dos SEALs,
você precisará da infantaria mais forte e consciente possível.
Nenhum comentário:
Postar um comentário