A importância de estar conscientes sobre cybersecurity

2 abril, 2020

Segurança

Uma parte das incidências que uma empresa pode ter em matéria de cybersecurity ocorrem por parte dos empregados. Por isso na MTP pensamos que é importante tanto a conscientização das pessoas como a proteção dos sistemas.

A cybersecurity é uma parte importante da garantia integral de negócios digitais, atividade que realizamos na MTP. Como empresa de Digital Business Assurance, trabalhamos neste campo junto ao de garantia da qualidade de software (QA), experiência de usuário e DevOps & Agile.

Todos sabemos que, no que se refere à cybersecurity, independentemente do que fortalece a infraestrutura e os aplicativos -que, com certeza, também é muito importante-, é preciso prestar uma atenção especial às pessoas. Somos o elo mais fraco e objeto de uma alta porcentagem de ataques.

Por isso, neste artigo queremos destacar a importância de ensinar todas as pessoas, independentemente do lugar que ocupem, do setor a que pertence sua organização ou do tamanho da mesma, a entender em que circunstâncias podem ser vítimas de um ataque e que cuidados devem ter para estar conscientes e não ser um perigo para as organizações e para si mesmas.

Os possíveis perigos a que estamos expostos diariamente são múltiplos, aqui vamos ver somente três exemplos de incidentes que neste momento estão em auge. Cada usuário em menor ou maior medida se enfrenta com estas situações diariamente.

O primeiro, prova de engenharia social por excelência, é o phishing (envio de e-mails enganosos, contaminados). Esta prova é a mais disseminada, mas também é a que os usuários têm mais cuidado, pois houve um grande trabalho de conscientização, especialmente entre as pessoas que usam serviços bancários online.

A última técnica usada pelos hackers é pesquisar o entorno de cada vítima, entorno de trabalho, relações pessoais com colegas, cargos e responsabilidades (por isso é tão importante filtrar a informação que expomos). Apesar de não usar apenas isto, às vezes os hackers se infiltram nas empresas vulnerando seus sistemas de informação e passam meses observando para preparar um cenário do ataque que irão executar.

Um bom exemplo desta descoberta é a fraude do CEO, que consiste em enganar um empregado da diretoria ou dos departamentos financeiro / contabilidade da empresa, com poder para fazer transferências ou acesso a dados de contas, simulando mandar um e-mail supostamente de seu chefe, que pode ser o seu CEO, o presidente ou o diretor da empresa para realizar operações em seu nome. Protótipo disto foi o caso da EMT de Valencia.

Brechas na segurança

O segundo exemplo que envolve os usuários são as grandes brechas de segurança que estão se alastrando. É verdade que muitas delas advêm de falhas nos aplicativos ou infraestrutura, que são aproveitadas pelos hackers para realizar outro tipo de ataques contra os próprios usuários.

O mais crítico na maioria das vezes são os filtros de listas completas de usuários e senhas de diversos serviços ou plataformas, desde os dados corporativos da empresa até dados de serviços pessoais que usamos em nossa vida cotidiana.

Por isso, realmente, apesar de que neste caso o usuário não possa evitá-lo na maioria das vezes, pode tentar que essa informação não seja usada para fins ilegais. Por isso, é tão importante fazer um uso seguro das senhas, ter uma boa política de complexidade delas e insistir em mudar a senha de todos os serviços que se utilizam de forma periódica usando diferentes senhas em cada um.

Nos últimos tempos houve grandes infiltrações de dados em grandes empresas, Equifax, Facebook, Adobe, LinkedIn, ou inclusive Decathlon nas últimas semanas foram vítimas disso, apesar de que a maior base de dados de usuários de todo tipo que se conseguiu é a denominada Collection1.

Por último, existe um ataque que estão sendo realizado por muitos hackers nos últimos tempos que é a tentativa de obter informação ou realizar engenharia social através do telefone, técnica chamada vhishing.

Na maioria das vezes os hackers se fazem passar por uma empresa externa que possa ter confiança para a possível vítima, desde seu próprio Banco, companhia de fornecimentos ou a oficina mecânica de seu carro.

Referente a isto, está acontecendo um caso que, apesar de estar bastante tempo em uso, nas últimas semanas está tendo uma envergadura especial. É a ligação falsa da Microsoft, na qual se fazem passar pelo serviço técnico alegando que detectaram um problema em teu computador e que precisam fazer uns testes no mesmo, com o objeto de poder ter acesso e utilizá-lo para outros fins, inclusive há algumas semanas a OCU alertou sobre isso aos usuários.

É preciso levar em conta que nestes exemplos vistos ou em qualquer outra situação que se apresenta em nosso dia a dia, ninguém deveria solicitar dados por telefone/e-mail ou por qualquer outro meio, e todos devemos levar em conta a proteção da informação que manejamos cotidianamente.

Na MTP ajudamos nossos clientes neste trabalho, realizando planos de conscientização na medida para que todos os empregados tenham um bom nível de sensibilização em cybersecurity e não sejam vítimas de ataques.

Fernando Saavedra

Manager de Cybersecurity MTP

Ver mais histórias