Usuário – O ponto mais fraco na segurança de uma infraestrutura de TI!

Sim! O usuário é o elo mais fraco na segurança dos dados de uma organização. E não só os usuários comuns, mas até mesmo os profissionais de segurança de sistemas de informação cometem erros.

O erro humano é o maior risco e a maior ameaça para qualquer organização, porque simplesmente não é possível controlar totalmente o comportamento dos seus funcionários.

Por isso, toda empresa, por melhor que seja o departamento de Recursos Humanos em seus cuidados na contratação e gestão de pessoas, precisa estar preparada para lidar com usuários mal-intencionados. Usuários não treinados e usuários descuidados.

Os erros nem sempre são intencionais, mas prejudicam mesmo assim

Nem sempre o erro será intencional, mas causará danos do mesmo jeito! Por isso, estratégias precisam ser elaboradas e utilizadas para ajudar a reduzir os riscos, como por exemplo:

• Verificar cuidadosamente o histórico de cada candidato, antes que seja contratado;
• Efetuar avaliações regulares com todos os membros da equipe;
• Alternar o acesso a sistemas, aplicativos e dados confidenciais com diferentes cargos da equipe, usando uma escala de confidencialidade;
• Aplicar testes e análise de qualidade nos softwares, aplicativos e sistemas;
• Revisar regularmente os planos de segurança em toda infraestrutura de TI.

Além dessas estratégias de mitigação, uma política de segurança bem elaborada e devidamente aplicada é a melhor forma de prevenção de riscos!

Construir uma estrutura de Política de Segurança de TI é a melhor forma de proteger os dados da organização

Sabendo que a segurança de TI é fundamental para a capacidade de sobrevivência de qualquer organização, surge a necessidade de uma estrutura de política de segurança de TI. Em outras palavras, consiste nas políticas, padrões, procedimentos e diretrizes que reduzem os riscos e as ameaças.

O objetivo da estrutura de política de segurança de TI da organização é reduzir a exposição a riscos, ameaças e vulnerabilidades.

Na prática, uma estrutura de política de segurança de TI tem quatro componentes. São eles:

• Política – Uma política é uma breve declaração escrita, registrando que as pessoas responsáveis ​​por uma organização definiram um curso de ação ou direção. Essas declarações de política devem definir limites e também se referir aos padrões, procedimentos e diretrizes;
• Padrão – Um padrão é uma definição escrita detalhada de como devem ser utilizados os hardwares e softwares da organização. Os padrões garantem que os controles de segurança adotados sejam usados em todo o sistema de TI;
• Procedimentos – São instruções escritas sobre como usar as políticas e os padrões, incluindo: plano de ação, instalação, teste e auditoria dos controles de segurança;
• Diretrizes – Uma diretriz é um curso de ação sugerido para usar a política, padrões ou procedimentos. As diretrizes podem ser específicas ou flexíveis quanto ao uso.

É importante saber diferenciar e relacionar a definição de política e de padrão para os requisitos práticos de design; requisitos esses que devem ser aplicados de forma adequada aos controles de segurança e contramedidas.

Contramedida, ou “salvaguarda”, é uma medida de segurança que se coloca em prática para mitigar um risco potencial.

E só para ilustrar: gerenciamento de senha forte; controles de acesso em sistemas operacionais, implementação de senhas do BIOS (sistema básico de entrada e saída), treinamentos sobre segurança, entre outras.

A estrutura da política de segurança de TI deve começar a ser definida a partir de uma política de classificação de ativos, que, por sua vez, deve ser alinhada a um padrão de classificação de dados.

São as políticas que definem como os controles de segurança e as contramedidas devem ser usadas para cumprir as leis e os regulamentos.

Como lidar com a vulnerabilidade humana?

As leis obrigam as organizações a usarem controles de segurança para proteger os dados privados dos clientes. Lembrando que controles de segurança são ações que mitigam riscos. Como por exemplo:

• Treinamentos de segurança para conscientizar os funcionários;
• Política de Segurança de TI bem estruturada, tipo um manual de instruções de controles de segurança;
• Adotar soluções de segurança para as infraestruturas de TI com projeção em camadas, afinal, sabemos que quanto maior o número de camadas, ou de compartimentos, maior a possibilidade de bloqueio e proteção de dados e de propriedades intelectuais, mitigando assim os riscos de ataques e roubos;
• Avaliações periódicas de segurança, realizando testes de invasão (pentest) em sites e nas infraestruturas de TI. É a forma que os profissionais de segurança checam se os controles estão instalados de forma correta;
• Monitorar pontos de entrada e de saída das redes de internet;
• Antivírus nas estações de trabalho e nos servidores;
• Controles de acesso rigorosos, com ID de logon e senhas para os aplicativos, sistemas e dados. Salientando que IDs de logon e senhas são apenas verificação de usuário. Além disso, é preciso validar os acessos fazendo uma segunda verificação da identidade dos usuários.

E assim, reduzindo os pontos fracos dos softwares nos computadores e nos servidores, fazendo a atualização com patches e com correções de segurança. Desse modo, é possível manter seguros e atualizados os sistemas operacionais e os aplicativos.

4 medidas de controle que a organização deve usar para proteger os dados:

É protegendo os dados que se pode garantir a confidencialidade deles!

Para isso, as empresas devem usar quatro controles específicos, que são:

1. Definição de políticas, procedimentos, padrões e diretrizes de proteção, que indiquem como toda a organização deve lidar com os dados privados;
2. Adotar padrões de classificação dos dados para que se possa definir como devem ser tratados, pois assim é possível saber que tipos de controle é preciso para mantê-los seguros;
3. Aplicar limites de acesso a dados confidenciais armazenados nos sistemas e aplicativos, permitindo acessar apenas quem for autorizado;
4. Criptografar os dados confidenciais e mantê-los ocultos para os usuários não autorizados, principalmente os dados que navegam na internet, mas também os que ficam armazenados nos bancos de dados e dispositivos de armazenamento.

E, para o usuário, apesar do ditado popular afirmar que “errar é humano”, é preciso estar bem atento a fim de evitar tais vulnerabilidades. Pois, a consequência são danos que podem ser irreparáveis!

Devemos reforçar o alerta de que permanecer no erro quando se tem consciência dele, é ilegal, portanto, vale reforçar uma orientação que todo mundo deve saber e que não pode deixar de ser seguida:

• Nunca inserir dados privados descriptografados em e-mails e sites não confiáveis;
• Jamais inserir dados privados em sites ou aplicativos que não usam criptografia;
• No ambiente de TI da organização, seguir rigorosamente as normas da política de segurança da informação.

Agindo assim, é possível mitigar as ameaças e riscos que assombram os dados organizacionais e que transformam o usuário no maior vilão em potencial da segurança de uma infraestrutura de TI.

Enfim, se você gostou desse artigo, pode aprofundar seu conhecimento lendo: CISEF, da PMG Academy, um livro preparatório para quem deseja se capacitar em Segurança Cibernética, com foco na Certificação EXIN Cyber & IT Security Foundation.

O CISEF aborda os fundamentos da Segurança Cibernética, identificando na infraestrutura básica dos sistemas de informação e em sua funcionalidade, os cenários de vulnerabilidades, ameaças, riscos e as devidas estratégias de mitigação relacionadas.

E se acaso você ficou com alguma dúvida, não hesite em nos perguntar. Deixe também o seu ponto de vista.

Que logo após, nós, da PMG Academy, vamos te responder o mais breve. Até mais!