Segurança: A informação nas empresas

Imagem do blog noticia sobre segurança da informação

A preocupação com a Segurança da Informação é um tema que precisa fazer parte da estratégia das empresas, devido ao crescimento de incidentes, os riscos que falhas de segurança podem representar e a evolução das formas de ataque na internet.

Uma pesquisa realizada pela Allianz Global Corporate & Specialty (AGCS), colocou o Brasil na quarta colocação mundial no ranking de prejuízos causados por crimes virtuais, com uma média anual de perdas causadas por ataques cibernéticos chegando a US$ 7,7 bilhões no país. Ficando atrás apenas dos Estados Unidos (US$ 108 bilhões), da China (US$ 60 bilhões) e da Alemanha (US$ 59 bilhões).

Em outra pesquisa sobre ataques virtuais, realizada pela PwC, constatou-se que o número de incidentes registrados em empresas brasileiras saltou de 2.300 em 2014 para 8.700 em 2015. Em 2015, o valor médio do prejuízo financeiro relacionado a problemas de segurança foi de R$ 9 milhões, segundo a pesquisa. Mostrou também que no Brasil a maior parte dos incidentes tem origem nos próprios colaboradores das empresas, representando 41% – acima da média mundial de 34%.

As formas de ataques na internet estão cada vez mais dinâmicas e sofisticadas, explorando de formas diferentes todas as possíveis vulnerabilidades existentes nas empresas, desde a falta de sistemas de bloqueio ou segurança, como antivírus ou proxy/firewall, até a falta de conhecimento ou atenção dos usuários ao utilizarem a internet. Inclusive, como mostrou a pesquisa da PwC, os usuários atualmente são a porta de entrada dos ataques em 41% dos incidentes.

Diante desse cenário, podemos perceber a importância de uma política completa de segurança da informação na empresas, focando em três pontos fundamentais: antivírus e sistemas de prevenção/detecção de falhas, políticas e serviços de segurança e gestão do acesso a internet e a educação e treinamento dos colaboradores!

Treinamento e educação dos colaboradores

Os criminosos tentam explorar a falta de conhecimento dos usuários e a curiosidade natural das pessoas, enviando mensagens falsas por e-mail com assuntos populares ou se passando por pessoas conhecidas e confiáveis, induzindo os usuários a clicarem em links contidos no conteúdo das mensagens, que direcionam para sites nocivos. Essa técnica é conhecida como phishing.

Esses ataques aos usuários usam técnicas de engenharia social e são cada vez mais personalizados. Por exemplo, com o envio de mensagens de profissionais interessados em trabalho para o setor de RH da empresa ou ainda se passando por fornecedores em mensagens para setor de compras. Um pesquisa realizada pela Intel, mostrou que apenas 3% dos usuários são capazes de identificar um ataque de phishing.

Em 2015, a empresa JBS fez um teste com seus 30 mil colaboradores enviando um e-mail com conteúdo informando que o jogador Neymar estaria saindo do Barcelona e iria jogar em outro clube. Ao clicarem no link da mensagem os usuários foram direcionados para uma página que informava que este poderia ser um site nocivo e causar danos ou falhas de segurança. A taxa dos usuários que clicaram no link ficou em torno de 10% dos 30.000 colaboradores, onde o recomendado é que fique abaixo de 5%.

Após um colaborador clicar em um link malicioso e acessar o site nocivo, são instalados “malwares” ou algum vírus, que podem infectar não só o computador, mas toda a rede da empresa. Com esses programas instalados, os criminosos podem capturar senhas, dados financeiros de acesso a contas em banco ou cartão de crédito, roubar ou sequestrar informações sigilosas da empresa e várias outras formas de ataque.

Então, para orientar os colaboradores a identificarem possíveis riscos, é necessário criar programas de orientação sobre os riscos de segurança, as formas de ataque e os possíveis danos. O recomendado é que a empresa tenha uma política de acesso a internet bem clara e difundida, que descreva como os equipamentos de tecnologia podem ser utilizados, que tipo de conteúdos podem ser acessados e em que situação ou condições podem ser utilizados.

Também é recomendado criar materiais educativos para treinamento, como vídeos explicativos ou cartilhas com orientações de como utilizar a internet de forma segura. Dois pontos importantes a serem abordados, que são a causa da maioria das falhas, são a utilização de senhas seguras e cuidados necessários ao clicar em links de mensagens ou sites desconhecidos, que direcionam para sites nocivos.

Também é importante entender que a responsabilidade pela segurança da informação não deve ser somente do setor de TI, mas sim fazer parte da estratégia de gestão de pessoas e recursos em todo ambiente corporativo.

Antivírus e gestão do acesso a internet

Como vimos, a segurança da informação deve abordar também a utilização de sistemas de prevenção ou detecção de vírus, os tão conhecidos antivírus, o mais importante é que o antivírus esteja sempre atualizado e devidamente configurado, para que evite a instalação de vírus e identifique qualquer ameaça.

Também é fundamental a utilização de serviços para segurança e gestão do acesso à internet, que permitem um controle eficiente do que pode ou não ser acessado na rede e impedindo o acesso por parte dos usuários a sites nocivos. Existem inúmeras alternativas de serviços que permitem essa gestão.

Podemos perceber que se manter protegido na internet não é uma tarefa simples, é preciso comprometimento com a segurança e um conjunto grande de medidas, que envolvem a educação dos colaboradores e utilização eficiente de sistemas e tecnologias de proteção e controle de recursos.

Mas também podemos concluir que é imprescindível atenção a esse assunto, considerando o aumento dos crimes na internet e os prejuízos que possíveis ataques podem gerar para as empresas.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *