Quem me conhece sabe que prezo muito o contacto pessoal, prefiro reuniões presenciais ao invés das reuniões de teams. Prefiro pegar no telefone em vez de enviar o mail, gosto de almoçar com clientes e parceiros, onde raramente se fala de trabalho. Em suma, gosto de pessoas! Talvez seja por isso, que cada vez mais a minha atenção relativamente à segurança da informação recaia nas pessoas, e de como estas interagem com a informação que lhes chega.
Honestamente, não temos grandes dificuldades em implementar sistemas de segurança nos nossos clientes. Clientes que investem em antivírus de última geração, sistemas de acesso condicional, análise de vulnerabilidades internas, sistemas de MDM, backups offsite, planos de Disaster Recovery, etc, mas sabem…temos ainda alguma dificuldade em passar a mensagem de que as pessoas precisam também elas de ser “atualizadas”.
Há muitos anos que digo, genericamente, as pessoas são e serão o elo mais fraco da corrente de segurança das organizações e estas teimam em não perceber isso. Atualmente, não são muitos os casos de ataques a sistemas que exploraram uma vulnerabilidade conhecida, e porque será que não acontece com frequência? Porque além das empresas estarem mais atentas à gestão de updates da sua infraestrutura, a exploração de uma determinada vulnerabilidade dá muito trabalho! Porquê perder tempo a procurar vulnerabilidades, para depois tentar comprometer o sistema quando é muito mais fácil comprometer uma pessoa? Prova disto foi um teste de phishing que fizemos a um cliente: a administração pediu-nos que fizéssemos um teste de extração de dados a um departamento novo, que iria tratar de dados muito sensíveis. O nosso consultor (que nunca tinha falado com o cliente) decidiu ligar, apresentou-se como membro da equipa de monitorização de incidentes de segurança e, “para resolver um problema de segurança” deu instruções ao utilizador de modo que tivesse acesso remoto ao equipamento do cliente. Dois minutos depois e já com informação sensível copiada para o seu computador, o consultor agradeceu a cooperação e desligou a chamada.
Em resumo, uma empresa que investe milhares de euros por ano em sistemas de segurança ficaria com dados comprometidos em apenas alguns minutos. Felizmente, foi apenas um exercício, que serviu para formar os novos colaboradores relativamente ao comportamento de que cada um deverá ter na utilização dos sistemas digitais da empresa, mas poderia ter sido real e aí o impacto dessa extração de informação poderia ter sido desastroso.
Investir em segurança deve estar na ordem do dia da sua empresa, fazer o que for possível para proteger os vossos sistemas e antecipar futuros ataques. Contudo, não se esqueçam de incluir o fator humano nesse esforço da segurança: formem as pessoas, façam simulações de ataques de engenharia social e contem-lhes histórias reais de ataques. Acredito que desta forma a segurança da sua organização irá aumentar substancialmente e sabem que mais? As pessoas vão gostar de fazer parte dessa mudança.