Quando falamos em segurança da informação, ameaças não faltam. Podem ser externas, como ataques de hackers, e também internas, causadas pelo que é considerado o elo mais fraco dentro das organizações: o próprio funcionário. A solução para reduzir os riscos na gestão das informações está na implantação de estratégias proativas, com ferramentas e treinamento constante sobre segurança.

Mas, em primeiro lugar, como é possível reduzir os riscos na gestão de informações se você não souber com exatidão quais são os dados armazenados pela sua empresa e, também, onde esses dados estão armazenados? As informações de identificação pessoal podem estar armazenadas em diversos ambientes fora das aplicações corporativas, como:

  • Aplicativos na nuvem adquiridos sem o conhecimento da TI – a chamada Shadow IT, quando funcionários instalam ferramentas, soluções e sistemas que consideram mais adequados para uso corporativo
  • Serviços de compartilhamento de arquivos online
  • Mídias removíveis
  • Aplicações de terceiros, como no caso da Cambridge Analytica, assessoria política que dirigiu a campanha digital do presidente norte-americano Donald Trump em 2016 e coletou informações privadas de 87 milhões de usuários do Facebook, sem seu conhecimento, e enviou campanhas personalizadas
  • Arquivos temporários
  • Sistemas de backup
  • Dispositivos de funcionários

Ferramentas de avaliação de impacto, como as Privacy Impact Assessment (PIA) pode identificar onde as informações de identificação pessoal estão armazenadas, permitindo que a empresa reduza os riscos na gestão de informações, identificando áreas de vulnerabilidade e quais informações devem ser deletadas, encriptadas ou armazenadas em outros locais. Uma ferramenta de PIA também identifica quais informações estão sendo transferidas para terceiros e ajuda a reduzir os riscos em seus sistemas.

Além disso, a equipe responsável pela segurança da informação deve ter a capacidade de controlar quais dispositivos estão armazenando as informações que trafegam pela rede corporativa, garantindo que os mesmos tenham sistemas de segurança. Se a perda ou roubo de um laptop corporativo, onde as informações estão encriptadas, já é um grande problema, imagine o pesadelo que seria um funcionário perdendo um pendrive repleto de dados sensíveis, sem qualquer tipo de encriptação ou senha de acesso.

Evitando o ataque de hackers

E como proteger as informações de identificação pessoal de ataques de hackers? Liberando o seu ambiente de TI para os hackers. Mas para hackers éticos, que irão realizar testes de intrusão e identificar pontos de vulnerabilidade e risco na gestão de informações, auxiliando a empresa na melhoria de seus processos de segurança e na otimização de políticas internas de conformidade.

Segundo Cassio Augusto, especialista em segurança da informação, os testes de intrusão, ou PenTests, são realizados seguindo um padrão – PTES (Penetration Testing Execution Standard) – que prevê as seguintes etapas:

  • Pré-acordo de interação: Onde a empresa e o tester combinam o que deve ser testado, quais os meios de teste e qual a sua finalidade. Nessa etapa também é assinado um contrato de sigilo pelas duas partes;
  • Fase de reconhecimento: Momento em que a equipe de testadores faz um levantamento do máximo de informações sobre a empresa que será analisada;
  • Fase de varredura: Esse é o momento onde os testadores fazem uma varredura completa na rede para saber o que está presente. Por exemplo, o range de IPs, servidores, sistemas operacionais, portas abertas, entre outros itens;
  • Fase de obtenção de acesso e exploração: Usando as informações obtidas na fase de varredura, o pentester irá explorar cada item de forma separada, tentando encontrar as vulnerabilidades de cada um, seja por “exploit” ou por “brute force”;
  • Fase de obtenção de evidências e relatório: Após identificar todas as vulnerabilidades e possíveis ameaças, essas evidências são arquivadas pela equipe testadora. Com base nas evidências é elaborado um relatório completo sobre as vulnerabilidades e os prejuízos que a empresa poderia ter em caso de invasão;

Com os testes, é possível identificar todas as vulnerabilidades da rede e até descobrir qual o tamanho do dano que uma invasão causaria ao ambiente de TI.

Treinando os funcionários

Barton Jokinen, líder de Segurança da Informação e Conformidade para as Américas da Kaspersky Lab, destaca que “quando o assunto é conscientização em cibersegurança, a chave para o sucesso é criar uma cultura de cibersegurança – uma que motive os funcionários a manterem práticas seguras nas suas vidas cotidianas fora do perímetro do escritório. Afinal de contas, o objetivo do treinamento de conscientização não é apenas oferecer conhecimento, mas modificar hábitos e formar novos padrões de comportamento”.

Ele também destaca que o treinamento deve ser um esforço contínuo para educar funcionários sobre políticas, ameaças atuais e como lidar com elas. E como os colaboradores são citados como o elo mais fraco, devem ser tratados como qualquer outro ponto de vulnerabilidade na empresa, com instruções claras sobre as ameaças de segurança que podem vir a enfrentar e também as consequências caso não sigam as práticas para reduzir os riscos na gestão de informações.

Infelizmente, ninguém pode garantir que a rede é 100% segura. Identificar vulnerabilidades e implantar estratégias de segurança é que vai permitir agir de forma proativa, permitindo que os riscos na gestão de informações sejam controláveis e rapidamente solucionados.