Recomendações de cibersegurança para o local de trabalho

1 fev 2016

Vamos falar de um tópico essencial: recomendações de segurança no escritório. Selecionamos os problemas mais comuns, pois há diversos.

1000

Caso um: alguém sabe o que é pior
Não é trabalho da Alice cuidar da cibersegurança. Ela é a CFO de uma empresa de médio porte, mas aprendeu a ser cuidadosa e é ótima em diferenciar páginas de phishing das legítimas.

Quando uma mensagem da Receita Federal chegou em sua caixa de entrada, Alice estranhou. Mesmo que tudo parecesse bem, tinha algo sinistro com a data – fora do cronograma, muito cedo.

De qualquer forma, era tarde da noite, então checar a fonte não era opção. Alice optou por não abrir o arquivo anexado até que pudesse ter certeza – por exemplo, na manhã seguinte.

Pena que ela entrou de férias no próximo dia. E sua assistente, cumprindo a função de cuidar dos e-mails da chefe, foi bem menos experiente e caiu no truque.

Detalhando
Esse cenário pode parecer pouco realístico, mas não necessariamente. Foi culpa da Alice (ou ainda o resultado de uma política de segurança falha da empresa) que a pessoa errada fosse encarregada de lidar com e-mails executivos. Altos cargos são os primeiros alvos para phishers e criadores de APT.

Educação de pessoal contra phishing é uma medida de segurança altamente recomendada. Bem como a implementação de sistema automático anti-exploit como o Kaspersky Automatic Exploit Prevention. Que não deixará qualquer exploit passar.

Caso dois: Deixe o convidado permanecer como convidado
Jerome não esperava nada de ruim em uma visita de um amigo no escritório um pouco antes do fim do dia. O amigo perguntou se havia Wi-Fi disponível para seu tablet e Jerome entregou a senha da rede interna da empresa. O problema era que o tablet não era seguro…

Detalhando
É por isso que redes para convidados existem, Jerome sem dúvida violou a política de privacidade da empresa ao permitir um estranho na rede. Mesmo que o estranho não tivesse má intenção, o malware no seu dispositivo tinha.

A rede para convidados deve ser completamente isolada da interna e o controle sobre as trocas de dados entre ambas deve ser monitorado.

Caso três: A ave de rapina pegou sua presa
Chuck nunca foi bom de briga, especialmente se estivesse sozinho em um beco a noite. Bandidos vão embora com o smartphone do Chuck. Felizmente, sua saúde sofreu menos danos que seu ego. Mas havia outra razão para sua ansiedade: o smartphone continha arquivos de trabalho que não deviam cair em mãos erradas. E foi exatamente isso que aconteceu.

Detalhando
Dependendo se smartphone estava “registrado” na equipe de TI e com as configurações corretas, o problema pode ser enorme ou inexistente. Se o smartphone tiver uma solução de segurança corporativa e ferramentas antirroubo, o dispositivo será recuperado logo, dados sensíveis serão apagados remotamente, ou, na pior hipótese, os criminosos serão deixados com um tijolo inútil antes de vendê-lo.

De outra forma, a repercussão pode ganhar grandes proporções e alcançar toda a empresa. As chances de Chuck não ter sido uma vítima aleatória e os bandidos terem ido atrás de seu celular, especificamente, são pequenas. Esse cenário se encaixaria no clima de espionagem à la “Missão Impossível”, mas como cada vez mais coisas estranhas acontecem, descartar essa situação seria pouco sábio.

Com o BYOD (Traga seu próprio dispositivo), cada usuário e operadora de dados corporativos se tornam pontos sensíveis e, como tais, necessitam de proteção, que pode ser fornecida pela equipe de TI.

Caso quatro: Um post-it e uma webcam
Senhas, senhas, senhas. Um número enorme tem de ser memorizado ao curso do trabalho diário. É uma grande tentação usar um ou vários post-its com todas escritas e mantê-las perto.

Foi isso que o Andy fez. Lá na parede os post-its amarelos com inúmeras combinações de símbolos, letras e dígitos impossíveis de adivinhar e difíceis de hackear.

Quando essas senhas foram usadas por cibercriminosos para criar caos na rede da emoresa onde Andy trabalha, ele estava em apuros. Depois, investigadores descobriram que os post-its foram fotografados com um notebook próximo.

Detalhando
Senhas não são para mostrar. Por mais que pareça que ninguém possa adivinhar a quais contas elas pertencem, deixá-las a vista é tão inseguro quanto compartilha-las em texto por e-mail, por exemplo.

E como deixá-las seguras? – Com um bom gerenciador de senhas que fará com que você lembre de apenas uma senha mestre.

Sabedoria em paranoia razoável
Agora, alguns cenários relacionados a vários incidentes digitais no ambiente de trabalho. Eles podem parecer “fantasiosos”, mas não são – hackers realmente usam webcams para reunir informações (lembre-se de Carbanak).

A lista de “recomendações” em cibersegurança no local de trabalho seria longa, muito mais longa que só os quatro casos apresentados, mas o básico é isso:

  • Faça de tudo para prevenir que phishers tenham sucesso (e-mails de phishing são os primeiros vetores de ataques em uma longa lista de ameaças.)
  • Crie uma rede para convidados e a mantenha isolada da interna, e que nenhum não-funcionário use a rede interna.
  • Se sua empresa adotar o BYOD, tenha a política de “sempre culpado, sempre errado” para os dispositivos “visitantes”. Administradores devem saber quais dispositivos usam a rede e possuírem um “kill switch” para dados de trabalho caso sejam roubados, ou o dono saia da empresa.
  • Senhas devem ser mantidas privadas, apenas acessíveis a usuários específicos. Usar um gerenciador de senhas é o melhor jeito -e notas colantes na parede são sem dúvida o pior.
  • Podemos ainda adicionar mais uma recomendação: restringir o uso de mídias sociais, apenas se for necessário para o curso do trabalho e compartilhamento de arquivos por serviços de nuvem. Talvez isso possa parecer um pouco exagerado, mas se há algo a perder, melhor fazer tudo para prevenir.