Os métodos utilizados em ataques virtuais vem evoluindo ao longo do tempo, atualmente uma das técnicas mais usada é a utilização de e-mails de “phishing”, que são mensagens falsas com links que levam os usuários pra sites nocivos que podem instalar vírus nos computadores e na rede da empresa.
Uma pesquisa recente da PwC sobre ataques virtuais mostrou que o número de incidentes registrados em empresas brasileiras saltou de 2.300 em 2014 para 8.700 em 2015. Em 2015, o valor médio do prejuízo financeiro relacionado a problemas de segurança foi de R$ 9 milhões. A pesquisa também mostrou que no Brasil a maioria dos incidentes tem origem nos próprios colaboradores das empresas, representando 41%, acima da média mundial de 34%.
Os criminosos estão cada vez mais sofisticados nos ataques direcionados às empresas, inicialmente essas mensagens falsas de “phishing” eram enviadas em massa, por exemplo campanhas falsas de empresas conhecidas como bancos, no intuito de que usuários clientes da empresa caíssem no golpe. Atualmente, com uso de técnicas de engenharia social, essas mensagens são mais personalizadas ao perfil de cada destinatário. Por exemplo, recentemente se tornou comum em ataques, o envio de e-mails para os setores de RH das empresas com mensagens simulando o envio de currículos de profissionais com arquivos em anexo, arquivos estes contendo vírus.
Após um funcionário clicar em um link malicioso ou abrir um arquivo com vírus, é instalado um “malware” que pode infectar não só o computador, mas toda a rede da empresa. Esses ataques e falhas de segurança podem gerar tipos de problemas diferentes, desde comprometer o desempenho dos computadores ou da rede, necessidade da manutenção destes, até a perda de dados ou roubo de informações privilegiadas como senhas, dados financeiros, informações do negócio ou de produtos e serviços, que podem ser comercializados para concorrentes.
Na maioria dos ataques e problemas de segurança atuais, os funcionários acabam sendo a porta de entrada para as falhas de segurança, por não terem orientação adequada e por não estarem devidamente protegidos na rede através de antivírus e serviços que bloqueiam o acesso a sites nocivos. Por isso a importância de haver orientação adequada e treinamentos para educar os profissionais a não clicarem em links e não abrirem arquivos que possam causar problemas de segurança.
No ano de 2015 a empresa JBS fez um teste com seus 30 mil colaboradores, enviando um e-mail com conteúdo contendo a informação de que o jogador Neymar estaria saindo do Barcelona e iria se transferir para outro clube de futebol, ao clicarem no link da mensagem os usuários foram direcionados para uma página que informava que esta poderia ser nociva e causar danos ou falhas de segurança. A taxa dos que clicaram no link ficou em torno de 10% dos 30.000 colaboradores, onde o recomendado é que fique abaixo de 5%. Após o envio da mensagem de teste a empresa ofereceu a todos os colaboradores um treinamento explicando o perigo de abrir arquivos ou clicar em links de mensagens com origem desconhecida e os cuidados necessários para não correr esse risco.
Esse artigo mostra em detalhes como identificar mensagens de spam e como prevenir o recebimento dessas mensagens.
Para o treinamento dos funcionários é importante utilizar casos que se aproximam ao máximo do cotidiano e da realidade do ambiente de trabalho, mostrando onde existem vulnerabilidades na rotina corporativa e o que fazer para evitar falhas de segurança. Muitas companhias tem como obrigatório na contratação a participação em cursos de segurança e proteção na internet, por exemplo o Banco Santander oferece cursos on-line sobre segurança da informação aos novos colaboradores, com atualizações desse treinamento a cada 6 meses.
Além de evitar cliques em links e a abertura de arquivos suspeitos, é importante criar uma política completa de utilização dos recursos de tecnologia e da internet na empresa. Com orientações básicas, de bloquear o computador sempre que se afastar da mesa de trabalho até técnicas para identificar sites que possam ser fonte de vírus. O ideal é que a empresa tenha uma política de uso da internet definida e que seja do conhecimento de todos colaboradores. Essa política deve descrever o que pode ser acessado e quais as penalidades no caso de não cumprimento das regras. Por questões legais, a empresa deve exigir que o funcionário assine um documento que contenha essa política, informando sua ciência quanto as regras e penalidades.
Outro ponto a ser contemplado nessa política é a utilização de equipamentos pessoais no ambiente de trabalho, principalmente smarthphones. É cada vez mais difícil restringir o uso dos celulares, mas em alguns casos as empresas tem exigido que os colaboradores desliguem seus aparelhos, com liberação em horários ou situações específicas.
Além da conscientização dos funcionários, temos ainda outros dois fundamentos importantes para uma boa estrutura de segurança da internet em ambientes corporativos, que são serviços de antivírus e serviços de controle de acesso a internet. Existem inúmeras alternativas de antivírus que podem ser utilizados, muitos inclusive gratuitos, porém é necessário que estejam sempre atualizados e configurados de forma adequada. Para o controle de acesso a internet, é recomendado buscar a orientação de empresas especializadas na área, podendo ser prestadores de serviços em TI locais ou soluções em nuvem que são mais modernas e acessíveis em sua implementação. Uma boa alternativa é o Lumiun Tecnologia, uma solução inovadora no mercado brasileiro que permite um controle completo do que é acessado na rede e gera relatórios detalhados de tudo que foi acessado, sem a necessidade de aquisição de equipamentos e mão de obra técnica especializada.
A segurança da informação deve ser preocupação e responsabilidade dos diretores da empresa e deve fazer parte da estratégia de gestão de recursos e investimentos. Cabe ao gestor de TI ou empresas terceirizadas contratadas elaborar uma boa política de segurança da informação e definir junto aos diretores sua implementação. Algumas falhas de segurança podem causar enormes prejuízos, por isso é fundamental que esse assunto seja encarado com atenção e prioridade.
Compartilhe conosco como sua empresa orienta os colaboradores quanto aos riscos na internet e que ferramentas são utilizadas para proteger os computadores e a rede de problemas e sites nocivos!
6 comentários
Comentários fechados