Por Trás do Firewall - A Ameaça Interna: Parte II
|
 |
 |
|
Como você leu na Parte 1, algumas das mais devastadoras ameaças podem vir de internos. "Internos", como nós os definimos, incluem qualquer um com acesso físico ao espaço dos escritórios ou acesso eletrônico à sua rede. Muitas empresas, em demasia até, aprenderam pelo modo mais difícil que a tecnologia de segurança não é capaz de assegurar sozinha a empresa. Deixar os internos desinformados sobre as questões de segurança pode expor a sua empresa a riscos desnecessários, os quais podem ter um impacto direto no valor corporativo, na produtividade da força de trabalho e nos custos para se fazer negócios. Onde terminam as suas soluções de segurança em TI devem começar a educação em segurança e o treinamento em conscientização para minimizar as lacunas em segurança. Os internos precisam estar atentos e compreender as questões em segurança de informação e se comportar de uma maneira consciente em relação à segurança - e você precisa fornecer o impulso para essa conscientização.
Táticas de engenharia social
A engenharia social atua sobre a inclinação natural das pessoas de confiar uma nas outras e de querer ajudar. Os agressores irão ter sucesso se conseguirem que seus internos caiam em seus truques. Mas as táticas de engenharia social não irão funcionar se os seus internos estiverem devidamente informados e atentos. Os métodos de engenharia social podem assumir várias e diferentes formas. Cada método tenciona atrair usuários inocentes para ajudar o atacante - seja ao abrir anexos que irão liberar um vírus ou fornecendo aos atacantes informações sensíveis que irão ajudá-los nos seus esforços.
Métodos comuns
As tentativas de engenharia social podem surgir a qualquer momento, numa maneira aparentemente inofensiva, num dia normal de trabalho. É sua responsabilidade assegurar que seus internos estejam atentos às seguintes ameaças, para que eles não se tornem presas fáceis de tais ataques:
- Anexos de e-mails - Se um funcionário abre um anexo de um e-mail não solicitado ou se não verifica os documentos anexados com um antivírus antes de abri-los, então a empresa está vulnerável a ataques por vírus. Assegure-se de que eles estão cientes não apenas sobre vírus e sobre o perigo de abrir um anexo inesperado ou que pareça suspeito, mas também sobre os resultados se um vírus for executado. Os vírus Anna Kournikova e I Love You são exemplos de ataques bem-sucedidos de engenharia social, já que as atraentes linhas do assunto provocam a curiosidade dos receptores e, assim, várias pessoas abrem o e-mail infectado.
Do mesmo modo, se as companhias contam com os funcionários para manter atualizadas as definições de vírus, em vez de prover as novas definições de vírus automaticamente para assegurar a aplicação da política, elas se arriscam a uma infecção mesmo se os funcionários fizerem uma verificação de vírus antes de abrir os anexos.
- Compartilhamento de arquivos - Confiar em compartilhamento de arquivos é um hábito muito explorável, do qual os agressores freqüentemente tiram vantagem. Hoje em dia, muitos programas ponto a ponto (P2P) contêm "spyware". Spyware permite que o autor do programa e outros usuários de rede vejam o que o seu funcionário está fazendo, onde estão na Internet e, até mesmo, usar os recursos do computador de seu funcionário sem que ele saiba. Os funcionários precisam ser usuários de Internet informados e responsáveis, além de cautelosos com os arquivos suspeitos que podem estar infectados.
- Mensagens Instantâneas (IM) e Bate-papo Transmitido pela Internet (IRC) - Os funcionários que usam serviços de IRC e IM devem conhecer as táticas que podem ser usadas para iludi-los a baixar e executar softwares maliciosos e que irão permitir a um intruso usar os sistemas como plataformas para lançar ataques de negação de serviço distribuídos (DdoS).
- Solicitação de informação - Nem sempre os atacantes tentarão seus truques através do computador. Algumas vezes eles também fazem contato com os seus internos pelo telefone ou pessoalmente. Um atacante pode telefonar para um interno e, imitando alguém em uma posição de autoridade ou relevância com uma necessidade operacional urgente, tentar obter informações pelo usuário. Usualmente, os funcionários de suporte, ou help desk, estão sujeitos a esse tipo de tática de engenharia social e devem ficar especialmente atentos a essa tática. Os funcionários devem estar cientes de que, se alguém perguntar por suas senhas ou qualquer outra informação sensível, devem proceder com a maior cautela possível.
Inicie um programa "vigilância do escritório"
Considere a criação de um programa de vigilância do escritório similar à idéia de vigilância da vizinhança. Se você estabelece uma atmosfera aberta que encoraja os funcionários a estarem atentos e reportar atividades suspeitas, será mais fácil lidar com os problemas potenciais antes que eles se tornem uma confusão real. Encoraje os seus funcionários a:
- Relatarem comportamentos suspeitos como aqueles navegadores por cima dos ombros alheios ou pessoas não autorizadas usando um PC ao qual elas não deveriam ter acesso.
- Se eles forem contatados por alguém procurando ter acesso não autorizado a informações, relatar isso ao gerente de segurança ou a outro pessoal autorizado.
- Abordar com suas preocupações sobre segurança um gerente de segurança ou outra pessoa designada em vez de discuti-las com seus colegas.
Além disso, você e a sua equipe de segurança devem sempre tomar cuidado com funcionários que não estão agindo de maneira segura. Se você vir um computador que foi deixado destravado e desacompanhado no escritório, senhas anotadas em papéis-adesivos colados em monitores ou ainda se você encontrar outra informação sensível da empresa deixada às claras, assegure-se de alertar o funcionário faltoso sobre suas ações. Garanta que ele tenha entendido exatamente como suas ações podem pôr em risco a empresa.
A chave é criar consciência
Mesmo que você tenha adotado as políticas de segurança, o seu trabalho não estará terminado. As políticas devem ser comunicadas e entendidas por todos.
Eis algumas coisas que você deve fazer para promover a segurança:
- Distribua brindes impressos (canetas, mouse pads, etc.) e coloque cartazes e placas nas paredes de seu escritório promovendo as suas mensagens de conscientização em segurança.
- Exija que todos os novos funcionários passem por orientação em segurança.
- Dê a eles dicas de como determinar quais informações (no computador e no papel) são confidenciais e como protegê-las.
- Ajude-os a avaliar o valor da informação que a sua empresa possui.
- Torne-os atentos aos riscos da engenharia social
- Encoraje os funcionários atuais a um treinamento de revisão em segurança
Reforce consistente e regularmente que as responsabilidades e as obrigações pessoais com a segurança de sua empresa podem ser um longo caminho. As empresas precisam tornar a segurança parte da função de cada funcionário, independentemente do nível de acesso que o funcionário tenha à rede de computadores. Mantendo todos do lado da segurança, haverá menos espaço para lapsos em áreas que a tecnologia de segurança não pode proteger.
Muitas empresas carecem de recursos internos para planejar, construir, testar, implementar e avaliar um amplo e efetivo programa de conscientização em segurança para funcionários. O Symantec Corporate Security Awareness Program irá motivar e engajar os seus funcionários ao comunicar mensagens sobre conscientização em segurança críticas à proteção do valor dos dados em sua organização. Esse programa fornece tudo que você precisa para implementar um completo programa de conscientização na sua empresa.
Informação relacionada
Informe-se sobre os Symantec Education Services: http://www.symantec.com/education/index.html
Webcasts:
Criando uma Força-tarefa Especialista em Segurança: Como construir um programa de conscientização em segurança para funcionários que funcione - Veja agora.
Força-tarefa Especialista em Segurança, Parte 2: Um plano para a Implementação e Gerenciamento de um Programa de Conscientização em Segurança para Funcionários - Veja agora.
|
|
|
ID do Artigo: 2160
