Senha é a vulnerabilidade mais explorada pelos cibercriminosos
Os ataques cibernéticos são reais e atingem qualquer tipo de empresas e manter o controle de acessos aos dados corporativos com o uso de senhas é um fator de alto risco que deve ser eliminado
Por Susana Taboas
Com o avanço das regulações de proteção e privacidade de dados no Brasil, a LGPD – Lei Geral de Proteção de Dados, a questão de segurança da informação passou a ser pauta de diversas áreas das empresas como a jurídica, serviço ao cliente e gestão de pessoas que anteriormente não eram pautas.
As questões relacionadas à proteção de dados por conta das pesadas sanções em caso de incidentes envolvendo dados passou a ser pauta também das reuniões do Board e do Conselho das empresas.
Com isso, as empresas se moveram em direção à segurança da informação e a contingência de incidentes. Do mesmo modo, as pautas relacionadas à digitalização dos processos foram ganhando espaço nas agendas dos executivos.
O roubo de credenciais corporativas é o start da maioria dos ataques hackers.
Por esse motivo, as empresas entenderam que os funcionários precisavam receber orientações relacionadas ao uso de suas credenciais e como identificar as possíveis mensagens de phishing em suas caixas de correio.
Visando mitigação dos riscos de ciberataques e a conformidade com as regulações de proteção e privacidade de dados, as empresas adotaram a prática de treinamentos sobre segurança da informação.
O treinamento é a ação mais efetiva, mais rápida e econômica que as empresas encontraram de reagir ao aumento dos riscos a que estão expostas frente ao aumento do volume e da sofisticação dos ataques cibernéticos.
Embora mais educação em segurança nunca seja demais e nenhuma organização deve confiar nela como uma ação isolada.
Contar e mostrar aos funcionários como e por que ocorrem as ações de phishing por meio de treinamentos periódicos é uma prática altamente recomendadas. É uma medida de segurança muito impactante nesse caso.
Mas, no mundo real, treinar pessoas que não são profissionais de segurança para terem consciência cibernética não funciona como deveria. O treinamento é passivo e os ataques e atacantes são tudo, menos isso.
As empresas que ainda utilizam senha e login como credenciais eletrônicas, precisam dedicar praticamente um capítulo do treinamento ao uso das senhas que são as credenciais corporativas disponibilizadas para realmente treinar os colaboradores de forma efetiva.
Algumas recomendações fazem parte de praticamente todos os treinamentos, independentemente da empresa. Seguem aqui alguns exemplos de algumas recomendações comuns:
- Utilize senhas fortes;
- Troque sua senha corporativa com regularidade;
- Não inclua nome de seus filhos ou pets como parte da senha;
- Não use o nome da empresa ou seu departamento com parte da senha;
- Não utilize números de telefones ou documentos;
- Não utilize suas senhas corporativas em outros locais como acessos à redes sociais, e-commerce ou bancos;
- Por fim, e não utilize seu email corporativo para atividades pessoais.
É cada vez mais preocupante constatar que a maior parte dos funcionários não seguem as recomendações dos treinamentos e pior: enquanto as empresas treinam esporadicamente seus funcionários, os hackers treinam o tempo todo, ou seja a frequencia é muito maior pelos hackers.
Diversas pesquisas divulgadas apontam que, mesmo depois de receberem treinamento os funcionários ainda utilizam senhas fáceis e usam senhas pessoais para proteger dados corporativos e vice-versa. Isso quer dizer que o treinamento precisa ser intensificado e mais repetitivo para que os funcionários realmente se conscientizem da importancia da recomendação que está sendo passada.
E, além disso, nota-se que todas as recomendações em torno da segurança com as credenciais de acesso recebidas pelos funcionários durante os treinamentos são negligenciadas ao longo do tempo. Por que lidar com uma variedade de regras sobre a criação das senhas, memoriza-las e atualiza-las periodicamente é muito cansativo.
No entanto, os líderes responsáveis pela segurança da informação não são indiferentes a essas fragilidades e tem ciência de que estão perdendo o controle da segurança de seus ativos digitais. Por isso, muitas vezes as empresas desnecessariamente correm riscos de perda patrimonial e da reputação por não disponibilizar recursos financeiros adequados e compatíveis ao porte da empresa.
A Solução existe
Atualmente, existem inúmeras formas de autenticação que identificam as pessoas no mundo eletrônico. São soluções, confiáveis, eficientes e seguras.
São credenciais que utilizam a matemática para criar as individualizações. Podem ser certificados digitais, certificados de atributos, biometria digital, biometria facial, biometria por voz e muitas outras formas de credenciais individualizadas e não compartilháveis.
Estão disponíveis no mercado também soluções completas para o onboarding digital que utilizam um conjunto de dados atualizados sobre as pessoas para que suas identidades sejam verificadas e confirmadas.
São recursos que utilizam a IA – Inteligência Artificial, e outras tecnologias para o gerenciamento de autenticação. A experiência de login único sem senha é altamente eficiente e elimina o que chamamos de ruídos ou pontos de atritos entre as aplicações e os usuários.
As soluções de autenticação disponíveis aliviam a carga imposta aos funcionários com a administração de senhas elevando a produtividade e o bem-estar. Simultaneamente, coloca os líderes de volta no controle da segurança de suas organizações.
No Crypto ID apresentamos muitas dessas soluções para que as empresas acessem um amplo “menu” de opções para adequação das credenciais de identificação a realidade e conveniência das suas organizações.
Apresentamos as soluções visando a construção de ambientes seguros e confiáveis para que organizações e pessoas possam transacionar no mundo eletrônico.
Conclusão
As corporações não podem abrir mão de utilizar o meio eletrônico em suas atividades, seus funcionários não seguem por muito tempo as recomendações de uso correto de suas credenciais corporativas, os ataques cibernéticos estão acontecendo cada vez mais frequentemente e os hackers não selecionam porte ou tipo de empresa. Consequentemente, todos os negócios estão expostos aos riscos.
Por isso, aqui vai um aviso importante, é hora de incorporar os gastos em soluções de segurança da informação e classificá-los como CAPEX de forma definitiva.
CAPEX significa Capital Expenditure e são investimentos de longo prazo, e em função de tudo que falamos aqui no caso da segurança da informação o investimento deve ser constante e crescente porque os ataques estão ficando cada vez mais sofisticados e que devem ser neutralizados por novas soluções de segurança que requerem novos investimentos.
“Sorry” mas o futuro é de empresas que se preparem melhor para o a realidade cyber e as identidades digitais são o começo de tudo.
No futuro a identidade será reutilizável, distribuída e armazenada em nuvem soberana?
Certificado Digital: serviço ou produto?
Sobre Susana Taboas
Susana Taboas | COO – Chief Operating Officer – CryptoID. Economista com MBA em Finanças pelo IBMEC-RJ e diversos cursos de extensão na FGV, INSEAD e Harvard University. Durante mais 25 anos atuou em posições no C-Level de empresas nacionais e internacionais acumulando ampla experiência na definição e implementação de projetos de médio e longo prazo nas áreas de Planejamento Estratégico, Structured Finance, Governança Corporativa e RH. Atualmente é Sócia fundadora do Portal Crypto ID e da Insania Publicidade.
Leia outros artigos escritos por Susana.
Acesse o LinkeIdin da Susana!
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.