Eis uma ameaça à segurança que não se pode combater com tecnologia. Prevê-se que ameaças à engenharia social estão surgindo. Mas, o que é engenharia social? Se você está fazendo essa pergunta, pode ser a hora de melhorar sua segurança de TI.
Uma nova e traiçoeira ameaça à segurança da TI surgiu, da qual nem mesmo firewalls, senhas e dispositivos de segurança podem proteger você. Essa ameaça é a engenharia social: um tipo de fraude na qual os profissionais obtêm informações ou acesso ao sistema do computador por meio de artifícios ou trapaças contra uma pessoa. No mundo da segurança corporativa, seus funcionários, e não sua tecnologia, são aqueles que apresentam a maior vulnerabilidade à engenharia social.
Um relatório recente que aborda a ameaça da engenharia social à segurança da informação indica que 48% das empresas já sofreram ataques da engenharia social. O mesmo relatório, apresentado pela Dimensional Research, mostra que 34% dos participantes da pesquisa não instrui seus funcionários sobre tais perigos. Embora ter um engenheiro social de boa fé ao seu lado pareça ser ideal, nem sempre isso é possível. Sua melhor saída é pensar como os fraudulentos e manter seus funcionários (frequentemente o elo mais fraco) bem informados.
O que veio primeiro: o hacker ou a necessidade de impedí-los? No caso da engenharia social, não se trata da questão do ovo e da galinha. Aqui, há uma causa evidente. E se você conseguir pensar como um engenheiro social, considere isso como sua passagem para a segurança no emprego.
É possível combater o fogo com o fogo? De acordo com o ex-hacker, renomado mundialmente, Gregory Evans, os gerentes de TI não têm conhecimento o bastante sobre segurança. Confiar unicamente na equipe de TI para impedir que hackers acessem seus dados é como depender somente da infantaria, diz Evans. Ele acredita que você precisa de segurança equivalente aos SEALs da marinha americana, que são conhecidos sobretudo por seus papéis nada convencionais nas guerras.
Alguns alegam que isso é como contratar um incendiário para apagar incêndios. Porém, em relação à segurança da empresa, existe motivo para confiar naqueles que sabem como enganar? Talvez.
Os tradicionais profissionais da TI seguem as regras à risca. Eles estudam, aprendem e passam em todos os testes corretos. Os hackers e os engenheiros sociais, por outro lado, fazem qualquer coisa menos seguir as regras. De acordo com Evans, é possível planejar tudo o que quiser em um ambiente controlado, mas no final você estará batalhando contra o caos.
Você está em risco esteja você ciente disso ou não.
Em agosto do ano passado, a DefCon, a maior convenção de pirataria cibernética do mundo, mostrou que grandes empresas não são somente vulneráveis, mas também alvos fáceis. Na verdade, os participantes da convenção que fizeram parte de um jogo de hackers acharam a tarefa tão fácil quanto atender um telefone. Em um dos casos, um falso administrador de TI, que precisava de informações, foi persuasivo o bastante para que um funcionário compartilhasse informações de bom grado.
O fato é que, uma vez que haja humanos para impedir, haverá estratégias de engenharia social para enganar. Homens “venderam” a Torre Eiffel e a Ponte do Brooklyn. Outros fizeram a limpa em contas bancárias com esquemas Ponzi complexos. O que é mais surpreendente é que esses fraudulentos encontram pessoas que caem em suas conversas. Por isso, quando um funcionário novo recebe uma ligação de alguém alegando ser da TI, tenha certeza de que ele conhece o protocolo.
Os funcionários são sua maior brecha
Funcionários mal treinados são uma enorme responsabilidade, mas mantê-los conscientes dos riscos pode devolver a você o controle. Saber que os engenheiros sociais procuram rachaduras na armadura de sua empresa ajuda você a se manter um passo à frente da insensatez. De acordo com a Network World, todo funcionário é um alvo viável. Oitenta por cento dos enganados não são os “figurões” com acesso a todos os dados importantes, eles são funcionários comuns.
É extremamente difícil se manter despercebido hoje em dia. Afinal, há uma infinita quantidade de informações prontamente disponível nos sites de mídia social. Os engenheiros sociais estão bem cientes do valor que essas informações representam. Não somente estão disponíveis gratuitamente para o acesso, mas também preenchem lacunas de estratégias para completar ataques. Os profissionais de TI que entendem esses riscos e conseguem transmitir o conhecimento adequado aos funcionários que costumam se apresentar como a maior ameaça à segurança da organização estão com alta demanda. Eis algumas das melhores práticas que todos os profissionais de TI devem compartilhar com funcionários:- Treine os funcionários, mantenha-os atualizados e conscientize-os de seu papel potencial;
- Sugira a implantação de configurações de privacidade mais rigorosas em sites de mídia social que disponibilizam informações profissionais
- Restrinja o uso do e-mail da empresa para uso pessoal
- Mantenha uma política de segurança no âmbito da empresa, a qual aborde expectativas e melhores práticas
- Mantenha um treinamento contínuo
- Seja um herói da segurança
O objetivo é proteger sua empresa e seus dados de engenheiros sociais desonestos; faça isso e você será insubstituível. Lembre-se, os principais aspectos aprendidos são:
- Ter consciência da ameaça (engenheiros sociais procuram pessoas que baixem a guarda)
- Saber pensar como o inimigo (significa manter-se sempre informado)
- E talvez o mais importante seja saber como treinar seus funcionários (eles são sua primeira linha de defesa)
- Se não for possível contratar segurança do nível dos SEALs, você precisará da infantaria mais forte e consciente possível.
Fonte: HP
Até breve com mais um Tecnologia em Foco
Sério Rodrigo de Abreu
Muito legal seu artigo. Parabéns!!
ResponderExcluir