Medidas paliativas em Segurança da Informação são ações que não resolvem problemas, mas reduzem ou retardam os sintomas.
Existe uma leve controvérsia em relação a aplicação de medidas paliativas, a começar pelo preconceito que pessoas de determinados locais possam ter ao sentirem-se menos familiarizados com cenários diferentes.
Durante nossa última campanha sobre engenharia social, separamos diversas dicas práticas de como ter uma rotina mais segura em diferentes ambientes.
Embora partam de uma realidade generalizada, é importante reforçar que as medidas podem ser úteis mas que diferentes empresas e localidades podem possuir necessidades diferentes sobre o que funciona para seus ambientes.
Política da mesa organizada
Esqueça o excesso de itens de escritório, como papéis e impressões em sua mesa de trabalho. Para garantir a segurança de olhares indiscretos, somente itens que estão sendo utilizados naquele momento devem estar presentes e informações sensíveis devem ser consumidas discretamente.
O uso de aparelhos pessoais (BYOD)
Expandir a informação de que os dispositivos dos colaboradores, mesmo quando pessoais, passam a ter as mesmas responsabilidades, regras e políticas de segurança de qualquer outra máquina corporativa a partir do momento que se conectam a rede.
Gerenciamento de Dados
É importante que todos os funcionários tenham noção da importância dos dados com os quais trabalha, protegendo cópias e compartilhamentos não autorizados, mesmo que o documento não apresente dados de extrema relevância, pois assim é possível criar a cultura de responsabilidade, proteção e sentimento de dono por esses dados.
Mídia removível
Não é nada incomum ver um funcionário plugando um pendrive em seu dispositivo simplesmente para ver o que se encontra nele armazenado ou simplesmente a quem pertence, o problema é que a mídia pode também ser um cavalo de troia. Nesses casos, o mais recomendável é consultar o gerente de SI para realizar os testes necessários.
Manter gavetas e armários fechados
Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.
Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário
Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.
Não compartilhar login e senha com nenhum colega de trabalho
Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.
- Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.
- Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho
Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.
Em situações externas, evitar ao máximo mencionar informações internas da empresa
Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.
Colaboradores bem informados sobre a própria organização nunca representarão algo negativo
No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.
Coletar documentos impressos logo em seguida
Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.
No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.
E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.
Em dispositivos
Se marketplaces oficiais como a Play Store, com todas as medidas que já tomam para a segurança de seus usuários, instalar somente softwares e aplicativos de fontes confiáveis.
Manter todo o sistema atualizado
Os softwares de melhor qualidade atualizam seus protocolos de segurança na medida em que novas vulnerabilidades tornam-se conhecidas. Além de ter uma boa seleção de aplicativos com esta prática, é essencial que as atualizações manuais sejam feitas regularmente.
Realizar uma varredura com o antivírus de preferência antes de abrir qualquer download realizado
Ao realizar o download de algum arquivo, da fonte menos para a mais confiável, é importante realizar a verificação (quando já não for realizada automaticamente) do arquivo, pois assim é possível reduzir as chances do arquivo instalar algum tipo de vírus no sistema.
Não memorizar senhas em computadores públicos ou de uso compartilhado
Incentive funcionários a desabilitar a memorização de senhas em computadores públicos ou espaços compartilhados, incluindo contas privadas quando estiverem no espaço de trabalho.
Bloquear imediatamente qualquer cartão bancário perdido.
Defina como mandatório o bloqueio de qualquer cartão corporativo perdido por um colaborador, assim como incentivá-los a fazer o mesmo quando ocorrer com seus cartões pessoais.
Nas agências bancárias, aceitar ajuda somente de pessoas devidamente uniformizadas e com as informações no crachá.
Embora muitas pessoas bem intencionadas busquem genuinamente ajudar alguém, o contrário também é possível.
Em e-mails e redes sociais
Verificar sempre o remetente do e-mail.
É importante que o remetente de todas as mensagens sejam verificados no ambiente corporativo. Pequenas variações no endereço de e-mail ou até mesmo uma grande diferença podem denunciar uma tentativa de phishing.
Desconfiar de todo e-mail com remetente desconhecido que possui anexos e links
Se além de desconhecido o e-mail demande algo que deve ser feito muito rápido ou disponibiliza algum arquivo não solicitado, jamais realize o download e não faça a abertura de nenhum PDF.
Não compartilhar notícias ou informações que não possam ter a autenticidade comprovada.
As fake news ganham força principalmente por pessoas que observam apenas o título das matérias ou tem afinidade com o tema, ainda que não o tenham conferido.
- Em redes sociais
Se no trabalho os funcionários precisam utilizar alguma rede social, ensine-os a configurarem o setor da maneira correta.
Evitar o envio de dados sensíveis por e-mail ou telefone, ainda que venham de algum colega de trabalho.
Aplique protocolos na organização que impeçam a troca de dados sensíveis por redes sociais ou em alguns casos, até mesmo através de e-mails.
Medidas de proteção na cultura do BYOD
Bring Your On Device (BYOD) é um modelo de gestão em que os funcionários trabalham com seus próprios equipamentos.
A política de BYOD traz vantagens como a redução de custo, mas a falta de visibilidade pode ser um problema para os gestores de segurança da informação. Então como lidar com os principais problemas encontrados na adoção do método?
Os funcionários devem ser treinados a lidar com essa realidade
Não basta que exista um excelente documento de política de segurança da informação se os funcionários não estiverem capacitados a seguir as diretrizes.
Permissões de uso de sites para download
Embora o trabalho BYOD ainda seja muito relacionado ao uso de notebooks, incluem-se na categoria smartphones e tablets.
Uma vez que essa gama de dispositivos pessoais está sendo utilizada na empresa, é necessário atenção quanto as lojas de aplicativos onde seus colaboradores realizam seus downloads.
Checagem por versões obsoletas de sistemas operacionais
Independente de qual sistema, seja Windows/macOS em um computador portátil ou uma versão antiga do Android/iOS, um sistema desatualizado é um grande risco.
Segurança de redes
Dentro do ambiente corporativo, o uso de todos os dispositivos estará sujeito aos protocolos de seguranças definidos pela equipe de TI, o que deve garantir uma conexão segura. Mas é importante que os usuários sejam instruídos sobre o acesso a redes externas e públicas.
Será que você é um mestre da segurança da informação e conhece todos os vetores de ataque?
Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.
Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.
Como manter uma empresa segura?
Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua empresa.