Por Reinhold Spandl
Gerente de Soluções da empresa Módulo Security Solutions
Segurança da Informação? Isso é problema da organização, nada disso tem a ver com minha vida!
Então vamos lá…….
- Você possui um Smartphone?
- Você possui uma Smart TV?
- Você faz monitoramento por CFTV de sua residência via internet?
- Você faz uso de redes sociais?
- Você tem um cartão de crédito com 3 números de código de segurança no verso?
- Você mora em um condomínio?
- Você acha que segurança da informação é só no mundo digital?
Se respondeu SIM para alguma dessas perguntas, isso tem a haver com você: pessoa!
A vida das pessoas cada vez mais está conectada por diversos meios: smartphone, tv, carro, cftv e em breve vários de seus eletrodomésticos estarão popularizados quanto à integração com o mundo IP. Leia a reportagem abaixo como complemento, meramente informativo:
- “Trend Micro says up to 6.1 million devices, including this smart TV, haven’t patched a software vulnerability dating from 2012.” Credit: Trend Micro
Logo não é só a segurança nas organizações que se faz necessário, mas a segurança na vida das pessoas também! Então como se utilizar disso para fazer a segurança na organização? É este o gancho que se pretende abordar aqui.
É fato que pessoas são o elo mais fraco na segurança da informação, mas não estamos fazendo a abordagem incorreta na hora de sensibilizá-los?
Se você quiser ter sucesso foque no ser humano e não no colaborador / funcionário. Motivo? A segurança da informação é vista como algo chato, que atrapalha, que cria burocracia, porém quando o foco passar a ter o dia a dia não profissional, será muito mais interessante para as pessoas e neste momento, a percepção da importância mudará.
Quando se capacita uma pessoa em segurança física tendo como objeto de estudo o seu local de moradia, a mensagem será muita mais atraente, porque diz respeito a ele e a seus interesses pessoais. A tendência dessa pessoa e de se tornar um “evangelista”, pois sendo capacitada e treinada, naturalmente levará as práticas ao seu condomínio, por exemplo, e logo perceberá que não basta ela fazer o certo, ela terá que sensibilizar todos os moradores e empregados do condomínio, pois se um falhar colocará a todos em risco.
Pode parecer que não, mas ainda hoje a maioria das pessoas, EM SUA VIDA PARTICULAR, não possuem a real percepção dos riscos a que estão exposta em função do mundo digital e da velha e perigosa engenharia social. A conectividade atual aliada a engenharia social acarretou uma elevação exponencial dos riscos, como por exemplo os sites de relacionamento que se apresentam como um ambiente com considerável números de crimes acontecendo.
Então a primeira coisa a ser feita é desmistificar que a gestão de riscos é algo que diz respeito somente às empresas e instituições do Estado, a mesma é o processo base da segurança da informação, mas também está presente em nossas vidas! Sempre fizemos gestão de riscos em nossas vidas e sempre faremos, como por exemplo:
- Quando criança em que você testa os limites de seus pais
- Quando atravessa uma rua
- Quando se faz uma ultrapassagem
- Quando se decide por investimento
- Quando se compra um carro ou um apartamento
- Quando se joga na mega-sena (risco positivo, também conta)
O cérebro humano é uma máquina de gestão de riscos, um exemplo disso é quando você sente medo em uma situação de conflito, é ele dizendo: CUIDADO, ALERTA, PREPARA-TE e ele faz isso quando dispara uma resposta fisiológica que libera adrenalina para que você fique atento a tudo a sua volta, ele te prepara para o enfrentamento ou fuga. O problema é que esta mesma máquina quando frente a uma “GRANDE OPORTUNIDADE”, tende a minimizar outras ameaças que estão presentes. Então temos que capacitar e treinar esta máquina.
Primeiro descomplique as situações e exemplos não utilize de “INFORMATIQUÊS” ou outras linguagens estritamente corporativas, faça uso do cotidiano das pessoas, como por exemplo:
- Cartões de créditos, e-mail particular, redes sociais, alarmes que ele tem que decorar as famigeradas senhas? 3, 4, 5 e 6! Para a maioria das pessoas isso é uma verdadeira “Missão Impossível”, então ela vai repetir a senha, colocar datas, sequências, anotar dentre outras formas que irão facilitar sua lembrança, mas também irá facilitar as técnicas utilizadas para acessá-las e quebrá-las.
Importante: cada sistema, software ou equipamentos tem um nível de segurança, então se ela repete um padrão: basta atacar o mais fraco.
Solução? Ensine a pessoa a utilizar algoritmo que permita a partir de um padrão, por exemplo de frases que só possuam significado para ela, mas que deriva de um ÚNICO modelo de regra de conversão que só ela conhece. Ela também utilizará disso na sua corporação!
Aborde práticas do dia a dia que podem ter relação direta com a vida da organização, como por exemplo:
- Tem cofre ou alarme em casa?
- Correspondências que tenham contexto de caráter sigiloso: declaração de imposto de renda, contracheque ou faturas de cartão de crédito em cima da mesa?
O empregado, vizinho, amigo, por mais confiáveis que sejam não possuem o direito ou necessidade de ter acesso a essas informações. Se tiverem que seja pontual e restrito ao necessário e tenha sempre em conta: Apenas a quem tem DIREITO E NECESSIDADE de acesso, senão: É NÃO! O mesmo vale para o contexto da organização.
A engenharia social, de uma forma bem simplista, tem por objetivo de manipular pessoas e/ou acessar informações para fins dos mais diversos, desde um sequestro até mesmo uma simples abordagem para relacionamento pessoal. É pura manipulação das fraquezas e ingenuidades que todos nós temos, e não há como impedir! Quem já não caiu em uma brincadeira de um amigo porque iria se dar bem? Mas pode-se reduzir a probabilidade de sucesso de uma abordagem por engenharia social, capacitando e treinando as pessoas para que, por exemplo:
- Desconfie da urgência que uma pessoal lhe coloca para resolver uma situação fora do normal
- Desconfie do famoso “sabe com quem está falando”
- Desconfie de pergunta que a princípio não tem muito a ver com sua função ou que a pessoa deveria saber e não perguntar
- Não compartilhe o que não é de interesse dos outros, não conte seus segredos, pois estes serão suas fraquezas
- Desconfie de vantagens e ganhos pessoais exagerados
Ressalte que as abordagens extremadas são as que mais se deve desconfiar. Algumas vezes são abordagens focadas na pressão e outras na presteza, os dois extremos são estratégias para que se baixe a guarda (por intimidação ou simpatia). De novo o mesmo vale para sua organização!
Trate seus funcionários pelo que eles são: pessoas, indivíduos com interesses e necessidades próprias e por este caminho abordá-los e aculturá-los nas práticas de segurança, como exemplo:
- Não peça a ele para não falar das coisas da empresa, porque este é o comportamento dele enquanto pessoa, nas redes sociais dão publicidade exagerada de seus dados e comportamentos se apresentam como um “prato cheio” para uma primeira abordagem de engenharia social. Algumas pessoas informam aonde moram, que horas chegam (identificado por meio das postagens), que estarão de férias do dia x ao dia y, que o animal de estimação foi para um hotel de cães, que aproveitará para fazer uma reforma com “Joaquim” e assim por diante. Então falar demais é comportamental, não basta ter regras proibindo.
Não existe segurança 100% e jamais existirá! Se utilize do que as pessoas mais prezam em suas vidas: família, dignidade, bens e outras coisas que para o ser humano são de grande valia, e um aliado capacitado e treinado terá.
Então fica aqui a dica: Proteja a PESSOA e a FAMÍLIA do seu funcionário/colaborador que este protegerá sua organização.
Mas atenção! Mantenha a máxima de que sua segurança é tão forte quanto seu elo mais fraco, por isso controles que visem o POLICY ENFORCEMENT são fundamentais, afinal, somos todos pessoas suscetíveis às nossas falhas humanas, propositais ou não.
Reinhold Spandl | Gerente de Soluções da empresa Módulo Security Solutions