Pessoas: o problema ou a solução para a segurança da informação?

por Carlos Rodrigues, country manager da Varonis

Qualquer gestor de TI sabe que o maior problema de segurança não são os hackers, nem as falhas de segurança dos sistemas, nem as brechas: são as pessoas que trabalham em uma organização. Mas uma ressalva importante neste início: lógico que não estamos falando para você se livrar das pessoas - estamos dizendo a você que é necessário ir além do que gestores de TI fazem hoje para resolver os problemas envolvendo os usuários e a segurança.

Tradicionalmente, o gestor de TI relega seus usuários ao posto de... usuários. Pouco envolve seus colegas –funcionários da mesma empresa - nos processos necessários para a manutenção da segurança da informação. E feliz ou infelizmente, boa parte das falhas de segurança acontece pelo desconhecimento ou maus procedimentos das pessoas.

Um exemplo clássico disso é o caso da gigante americana Target – cujos funcionários terceirizados, ponto inicial da invasão- tinham acesso com privilégios superiores aos necessários. Outro exemplo clássico são os e-mails de phishing, o mau uso dos equipamentos portáteis... a lista é longa. Mas o que o gestor de TI pode efetivamente fazer para mitigar o risco do uso da engenharia social pelos cibercriminosos?

A primeira ação é estreitar os controles. E isso não significa simplesmente limitar o acesso à web. É preciso contar com tecnologias específicas que auxiliem no monitoramento e gestão dos dados gerados pelos próprios usuários. E, para você ter uma ideia, em 2013 produzimos 4,4 zettabytes de dados, de acordo com um estudo publicado em abril passado pela EMC. Isso é muita coisa – e aposto que o ambiente interno da sua organização deve ter visto, nos últimos anos, o crescimento exponencial do storage para armazenamento de arquivos produzidos pelas pessoas. Como controlar o que é sensível e o acesso em um universo de dados? Hoje existem tecnologias específicas para isso, que trabalham numa camada invisível dentro da organização, e cujo impacto de implementação é enorme.

Para além das ferramentas, é preciso também que o gestor de TI seja proativo e adote uma postura diferenciada em relação ao usuário. É importante ter campanhas educacionais para mostrar ao usuário de TI o que fazer e como usar os recursos. Mas há uma ideia mais interessante, que não é exatamente nova, e que poderia ser utilizada em segurança, inspirada no “Chaos Monkey”, criado pela Netflix. 

Em 2010, a empresa apresentou uma solução interessante para testar a sua tecnologia: um software que desativa aleatoriamente instâncias e serviços dentro da arquitetura da empresa, com o objetivo de testar a reação da empresa a falhas. Agora imagine aplicar o mesmo conceito em segurança da informação.

Imagine testar o comportamento do seu usuário e da sua equipe de segurança preparando uma série de testes: e-mails de phishing com diferentes tipos de engenharia social; explorando brechas nos controles de firewall, entre outros exemplos. Demonstrar efetivamente aos usuários o que estão fazendo de errado e, mais do que isso, comunicar diretamente àqueles que realmente “caíram” nas armadilhas é muito mais efetivo do que as campanhas educacionais. Do mesmo modo, ativar supostas invasões em falhas de segurança encontradas no seu ambiente de rede vai mostrar na prática à sua equipe de segurança as fraquezas encontradas. E é essa a nossa proposta para os gestores de TI: se você quer mostrar ao seu time e aos seus usuários o quão séria pode ser uma falha de segurança que começa com um clique num e-mail, esse é o melhor tipo de ferramenta. Se os hackers utilizam a engenharia social, por que não usarmos um tipo de engenharia social reversa para expor e corrigir as falhas? Tenho certeza de que isso vale por várias palestras, reuniões e comunicados internos.

Assessoria de Imprensa