Quando pensamos na proteção dos dados de uma empresa, muitas vezes esquecemos de considerar questões básicas que podem desencadear uma série de dores de cabeça para uma organização. Não é comum nos depararmos com companhias que estão investindo alto em tecnologia, mas negligenciando medidas simples como a falta de controle no acesso à internet, criptografia de e-mails e concessão de privilégios aos usuários dos sistemas.
Importante lembrar que uma ameaça persistente avançada (APT), cujo objetivo é atingir computadores específicos com algum tipo de informação valiosa, pode decorrer de falhas básicas de segurança, como o simples controle de um e-mail.
Outro ponto, levantado por uma pesquisa da Intel Security, é o desconhecimento dos profissionais brasileiros sobre os riscos da segurança cibernética. De acordo com o relatório, 46% dos entrevistados acreditam que os ataques têm se tornado bem-sucedidos devido, principalmente, à falta de conhecimento do usuário brasileiro sobre as ciberameaças. Confira abaixo três medidas que devem estar na lista de atenção das organizações.
1. Todos podem ser alvo de ataque
Os cibercriminosos não estão em busca das maiores empresas e, sim, das mais fáceis de serem invadidas. De acordo com a Pesquisa Global sobre SI da PwC, os funcionários internos foram os mais citados entre os responsáveis por incidentes. Mas isso não quer dizer que todos os colaboradores possuem comportamentos maliciosos. Eles podem, sem querer, comprometer a perda de dados por meio de dispositivos móveis ou ser alvo de esquemas de phishing. Um hacker pode, ao invés de atacar diretamente o CEO, focar em usuários mais “comuns” da empresa, que provavelmente não possuem informações valiosas, mas que compartilham a mesma rede, sendo usados como trampolim para o objetivo final. Por isso a concessão de privilégios e acessos livres dos usuários às redes não é aconselhável.
2. De olho nos terceiros
Além dos funcionários, a atenção sobre os prestadores de serviços também deve estar em pauta. A segurança da informação é feita em camadas e o fator humano desempenha um papel fundamental, tanto para o bem quanto para o mal. Dentre as medidas básicas, uma organização deve aplicar suas políticas de segurança a todos. É necessário acompanhar a conduta dos terceiros para garantir que se comprometam com a proteção das informações, respeitando as políticas corporativas de segurança.
3. Programas de conscientização
A conscientização contínua sobre as políticas de segurança é um dos passos para sua aplicação. Para gerar a sensibilização por parte de toda a empresa, que resultará numa maior contribuição para uma segurança eficaz, o compromisso com as políticas de proteção de dados deve ocorrer em todas as esferas e departamentos. Mas engana-se que apenas publicá-la na intranet vai resolver. É recomendável que sejam estabelecidos programas de treinamento, reuniões e comunicações regulares.
SImples, não? Agora pense se todas são aplicadas em sua empresa. A segurança da informação de uma empresa é responsabilidade de todos.