Posted: 4 Min ReadPortuguês
Original Post: English

Cinco principais erros comuns de segurança que você pode evitar

À medida que as empresas buscam proteger suas infraestruturas contra ataques, muitas delas continuam sendo vítimas de erros básicos. Veja como evitar possíveis armadilhas

As empresas gastam quantias incalculáveis de tempo e dinheiro em técnicas sofisticadas de segurança cibernética. Porém, às vezes os maiores erros de segurança que eles cometem estão escondidos à plena vista. Se você quer manter sua empresa o mais segura possível contra os ataques pela Internet, veja os cinco erros comuns de segurança a serem evitados.

Erro nº 1: Não brinque com as contas de administrador

Sua empresa tem provavelmente muitas contas de administrador, dando a alguns funcionários controle irrestrito sobre hardware e serviços vitais. Isso representa um perigo, diz Rob Clyde, sócio-gerente da Clyde Consulting e presidente do conselho de administração da empresa de segurança da informação sem fins lucrativos ISACA.

Rob chama as contas de administrador de “o ponto fraco de todas as empresas”. Ele explica: “Os administradores têm privilégios totais e geralmente têm acesso às chaves do reino nos ambientes virtuais e de nuvem. Isso significa que um hacker que obtém acesso a uma conta de administrador pode literalmente derrubar uma empresa inteira e, no entanto, os ataques direcionados aos administradores são comumente ignorados”.

Ele recomenda que as empresas reduzam o número de contas de administrador e garantam que apenas as pessoas que precisam delas as obtenham. Também sugere a adição de segurança granular para que cada conta tenha acesso apenas aos recursos de que realmente precisam para realizar seu trabalho.

Finalmente, de acordo com Rob, a empresa deve considerar a necessidade de aprovação secundária para algumas tarefas, como a exclusão de todas as máquinas virtuais ou contêineres. Dessa forma, mesmo se os hackers obtiverem acesso a uma conta de administrador, eles não poderão causar muitos danos, porque outros administradores da empresa precisam assinar as ações de alto risco.

Erro nº 2: Renunciar a uma estrutura abrangente de gerenciamento de riscos

As empresas geralmente criam um conjunto de sistemas e procedimentos de segurança, mas não levam em conta como os riscos cibernéticos afetam toda a organização. Portanto, a segurança cibernética é vista como uma questão puramente técnica que exige atenção apenas do departamento de TI, e não de toda a empresa. O resultado? As empresas são menos seguras porque talvez nem todos os grupos e indivíduos estejam cientes dos perigos cibernéticos e, portanto, não estão alertas em relação a eles. É o que diz Chris Dimitriadis, ex-presidente do conselho de administração da ISACA.

Chris diz que uma estrutura abrangente de gerenciamento de riscos precisa definir com clareza como os riscos cibernéticos se traduzem em riscos aos negócios e como eles podem afetar a empresa. Isso é bem arriscado, pois as organizações podem colocar milhões de dólares gastos com reputação em perigo e perder a confiança do cliente. Dessa forma, toda a empresa, desde o conselho de administração até o último nível da hierarquia, estará ciente dos riscos e terá maior probabilidade de evitá-los.

Erro nº 3: Não aplicar patches

Você provavelmente já ouviu isso mais vezes do que uma mãe dizendo ao seu filho que ele deve comer mais verduras. Não importa: mantenha seus sistemas atualizados e aplique os patches. Rob e Chris ressaltam a importância do que deveria ser uma parte rotineira da prática de segurança preventiva de uma empresa. No entanto, muitas empresas ainda se esquecem de incorporar isso como prática padrão. Existem inúmeros exemplos de vulnerabilidades não corrigidas que levam a ataques bem-sucedidos pela Internet, com danos que atingem literalmente a soma de centenas de milhões de dólares.

“Os bandidos sabem quais são todas as vulnerabilidades: estarem publicamente disponíveis”, diz Rob. “As explorações estão por aí para todos verem e usarem na Internet. Portanto, você tem que estar alerta e manter os sistemas atualizados.”

Erro nº 4: Ignorar a segurança dos dispositivos IoT

É fácil para as empresas esquecerem que seus dispositivos IoT, como sensores e câmeras de vigilância, são um alvo muito grande e muito tentador para hackers e podem ser facilmente explorados. Rob explica que as empresas precisam tratá-los com os mesmos tipos de segurança que os servidores e outros sistemas relacionados à TI. Isso significa não apenas garantir que eles estejam protegidos por firewalls, por exemplo, mas também mantê-los atualizados e alterar suas senhas padrão.

Mesmo isso pode não ser suficiente, diz ele. Os fabricantes de dispositivos IoT são conhecidos por ignorar a segurança, e alguns dispositivos são inseguros por natureza, pois podem ter senhas padrão que não podem ser alteradas ou os dispositivos não podem ser atualizados automaticamente. Portanto, as empresas devem verificar todos os dispositivos de IoT que possuem e, se não puderem ser mantidos em segurança, “jogue os dispositivos fora e substitua-os”, diz Rob. Além disso, as empresas devem certificar-se de que qualquer novo dispositivo IoT que comprem possa ser adequadamente protegido.

Erro nº 5: Ignorar os treinamentos

A melhor proteção contra hackers e violações de dados é uma força de trabalho instruída sobre os perigos de segurança cibernética. Embora esta seja a primeira linha de defesa de algumas empresas, a grande maioria ainda não infundiu uma sólida instrução sobre segurança cibernética. Rob aponta para um estudo de 2018 da ISACA, no qual 95% dos profissionais de segurança entrevistados disseram que há uma lacuna entre o conhecimento sobre segurança que sua empresa quer e o conhecimento sobre segurança que eles têm. 

A melhor maneira de incutir uma cultura de conscientização da segurança cibernética é através do treinamento. Além disso, treinamento não significa seminários que os funcionários relutantemente frequentam e esquecem de imediato. Trata-se de um trabalho ativo e contínuo.

“O treinamento antiphishing é particularmente importante devido à frequência com que as empresas são violadas”, segundo Rob. “Para que o treinamento seja bem-sucedido, você precisará enviar emails de phishing não prejudiciais aos funcionários e, em seguida, avaliar como eles reagiram. Quantos realmente morderam a isca e clicaram? E, depois, faça mais treinamentos até que as pessoas respondam adequadamente.”
 

About the Author

Preston Gralla

Technical Writer

Preston Gralla has written thousands of articles and nearly 50 books about technology. His work has been published in Computerworld, PC World, PC Magazine, USA Today, the Dallas Morning News, the Los Angeles Times and many others.