Decisão cria elos fracos na proteção de empresas; veja quais medidas de segurança devem ser tomadas.
Cerca de 25% dos funcionários brasileiros já reclamaram com a equipe de TI sobre a necessidade ou a frequência das atualizações de programas em seus dispositivos corporativos. Surpreendentemente, mais de 40% tiveram autorização para negar a instalação de um software específico ou sistema operacional. Estas são algumas das conclusões da campanha "Dor de Cabeça" da Kaspersky, que estuda o comportamento dos usuários durante a atualização de seus dispositivos.
Além de trazerem novas funcionalidades e resolver bugs no sistema, as atualizações tem papel importante na segurança corporativa: a correção de vulnerabilidades. Essas brechas em programas ou sistemas operacionais permitem a pessoas não-autorizadas obter acesso à rede da empresa ou a dados confidenciais das organizações.
Neste contexto, é preocupante que as equipes de TI autorizem funcionários a manter sistemas desatualizados. Dos 25% dos entrevistados no Brasil que reclamaram das atualizações, fez-se dois questionamentos adicionais: se foram autorizados a pular as atualizações (44% sim); e se puderam escolher quais atualizações seriam feitas (54% puderam escolher).
Roberto Rebouças, gerente-executivo da Kaspersky no Brasil, explica que, ao permitir a existência de versões antigas nos dispositivos corporativos, as equipes de TI acabam criando elos fracos na segurança das organizações – é como ter uma corrente com um elo remendado e usar uma abraçadeira de nylon para evitar a substituição da corrente.
“Para quem não lembra, a epidemia do WannaCry, ransomware que explodiu em 2017 e gerou perdas de $ 4 bilhões de dólares em 150 países, teve sua disseminação massiva por causa de uma vulnerabilidade – que tinha correção, mas poucas empresas haviam instalado. Quatro anos depois, nosso relatório de ransomware mostra que esta ameaça ainda representa 16% das detecções em 2020. A razão do Wannacry ainda ser popular é porque as empresas estão com seus portões usando a corrente quebrada com uma abraçadeira de nylon – significa colocar uma placa “seja bem-vindo ladrão”, explica Rebouças.
O executivo ressalta que segurança de alto nível é feita em camadas e cada peça precisa ser forte para que a proteção final seja sólida. Para evitar que cibercriminosos explorem as vulnerabilidades, a Kaspersky recomenda as seguintes ações:
- Eduque os funcionários sobre a importância de atualizações frequentes e explique os riscos para a empresa caso os cibercriminosos explorem essas falhas.
- Crie políticas em seu sistema de segurança para forçar a atualização, caso o funcionário não o faça depois de um período determinado.
- Tenha uma solução de segurança com tecnologias de detecção de malware por comportamento e prevenção de exploit (malware que explora vulnerabilidades), como o Kaspersky Endpoint Detection and Response ( EDR ) Optimum. Com elas, há a possibilidade de detectar e bloquear golpes que exploram vulnerabilidades desconhecidas (0-day).
- Mantenha uma rotina de treinamentos de conscientização em segurança para todos os funcionários para garantir que boas práticas sejam sempre aplicadas – como a atualização dos programas nos dispositivos corporativos.
- Ative o recurso de avaliação de vulnerabilidades e gerenciamento de correções (patches) para automatizar este processo e liberar a equipe de TI para tarefas mais estratégicas.
- Para os sistemas legados e sem suporte (como o Windows 7), é recomendado que as organizações mantenham estes equipamentos em rede exclusiva (e separada da principal) e aplique medidas adicionais de proteção, como a criação de uma lista de processos permitidos com as funções que o equipamento poderá executar. Qualquer outra tarefa será bloqueada por padrão (default deny).
Para saber mais sobre a pesquisa, acesse o blog da Kaspersky.
Sobre a pesquisa
Em abril de 2021, a Kaspersky realizou com a Savanta uma pesquisa online com 15 mil entrevistados para explorar as tendências de como as pessoas se comportam ao atualizar seus dispositivos. A amostra incluiu 1.000 participantes da Alemanha, Espanha, França, Itália e Reino Unido; além de 500 entrevistados vindos da África do Sul, Argentina, Austrália, Áustria, Brasil, Chile, China, Colômbia, Emirados Árabes, Estados Unidos, Holanda, Índia, México, Peru, Portugal, Romênia, Rússia e Turquia. Todos os participantes usavam um computador, um smartphone e/ou um tablet para cuidar de assuntos pessoais ou de trabalho, e 76% deles estavam empregados.
Sobre a Kaspersky
A Kaspersky é uma empresa internacional de cibersegurança e privacidade digital fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 240.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais no site da empresa.
