20 . 11 . 2019

LGPD- Conscientização de colaboradores é chave para garantir segurança da informação e privacidade

Proteção de Dados Pessoais

Escândalos de vazamento de dados parecem não ter mais fim, empresas estão cada vez mais expostas às novas ameaças que surgem para explorar suas informações/privacidade, por isso, é de grande importância investir em segurança física, lógica, ambientes bem configurados, além de treinamento e conscientização dos colaboradores, para dificultar o acesso não autorizado aos ambientes de processamento das informações e, consecutivamente, o vazamento de informações. A Segurança da informação é um assunto muito comum atualmente, onde ataques a computadores, ou mesmo a grandes redes, são crimes cada vez mais reincidentes na Internet.

A LGPD (Lei Geral de Proteção de Dados), definirá um marco para que empresas sejam responsabilizadas financeiramente em casos de vazamento de dados e uso indevido sem consentimento dos titulares, empresas de pequeno, médio e grande portes terão que investir em segurança da informação e implementar sistemas de conformidade para prevenir, detectar e remediar violações, uma vez que a lei irá considerar essas ferramentas como critério atenuante na aplicação das penas. Empresas não poderão mais negligenciar a segurança da informação e para minimizar essa exposição, o de vazamento de informações e possíveis prejuízos, as empresas precisarão utilizar métodos e técnicas preventivas de invasão para criar políticas de segurança da informação e recomendações de boas práticas.

Conscientização das equipes

É preciso que os colaboradores auxiliem nesse processo. A segurança laboral é, além de um direito dos trabalhadores, uma obrigação solidária entre eles e a empresa. Se cabe ao empregador adotar medidas para tornar o ambiente de trabalho mais seguro e fornecer treinamento adequado para que as equipes saibam lidar com as adversidades, é de responsabilidade dos trabalhadores zelar pela saúde do ambiente e cumprir as normas e determinações dadas pela direção da companhia.

Apesar do cenário parecer desolador, o melhor caminho para garantir a proteção de dados é o da efetivação de políticas fortes de segurança das informações. Embora saibamos que segurança da informação e proteção de dados pessoais não se confundem, é fato que a segunda não existe sem a primeira.

Sabemos que ambientes seguros são construídos sobre três pilares: pessoas, processos e tecnologias e dentre eles o mais fraco e volátil são as pessoas.

O prazo para adequação à LGPD, está bastante curto já, mas é preciso administrar o desespero, de nada adianta, por exemplo, sair adquirindo tecnologias de segurança da informações caríssimas estourando orçamentos e esquecer que treinamentos para o pessoal, medidas básicas de controle de acesso, começando a criar uma cultura de proteção de dados alinhada à cultura organizacional podem ser os fatores que determinarão o sucesso da implantação de um programa de conformidade.

Algumas dicas sobre segurança da informação: tipos mais comuns de ataques de engenharia social

Soluções como firewalls, filtros de e-mail e ferramentas de monitoramento da rede e de dados podem ajudar a mitigar as ameaças, porém, a conscientização do usuário é a tarefa mais importante para combater os ataques de engenharia social.

Principais tipos de ataques de engenharia social

Contar com funcionários capazes de reconhecer e evitar os tipos mais comuns de ataques de engenharia social é a melhor defesa nesses casos. Saiba mais sobre os tipos mais comuns de ações de engenharia social a que os funcionários devem saber reagir:

Baiting

Por meio dessa técnica, Cracker/Hackers deixam à disposição do usuário um dispositivo infectado com malware, como um pen-drive. A intenção é despertar a curiosidade do indivíduo para que insira o dispositivo em uma máquina a fim de checar seu conteúdo.

O sucesso dos ataques de baiting depende de três ações do indivíduo: encontrar o dispositivo, abrir seu conteúdo e instalar o malware sem perceber. Uma vez instalado, o malware permite que o Cracker/Hacker tenham acesso aos sistemas da vítima

Phishing

Técnicas mais comuns de engenharia social pelo alto nível de eficiência. O phishing ocorre quando um hacker produz comunicações fraudulentas que podem ser interpretadas como legítimas pela vítima por alegarem vir de fontes confiáveis.

Em um ataque de phishing, os usuários podem ser coagidos a instalar um malware em seus dispositivos ou a compartilhar informações pessoais, financeiras ou de negócio. Os piores ataques de phishing se aproveitam de situações trágicas com o objetivo de explorar a boa vontade das pessoas, fazendo com que passem informações pessoais e de pagamento para realizar doações, por exemplo.

Quid pro quo

A tática mais comum envolve se passar por alguém da TI e abordar diversas vítimas, até encontrar alguém com um problema real de TI. Sob instruções do Cracker/Hacker, a vítima então dá acesso a códigos, desabilita programas vitais e instala malwares achando que conseguirá resolver seu problema.

Afinal, como se proteger?

A coisa mais importante que você pode fazer para evitar ser uma vítima de engenharia social é abraçar o ceticismo saudável e sempre ser tão vigilante quanto possível. Apenas estar ciente de truques comuns coloca você um passo à frente.

Nunca divulgue informações confidenciais ou mesmo informações aparentemente não confidenciais sobre você, ou sua empresa, seja por telefone, on-line ou pessoalmente, a menos que você possa primeiro verificar a identidade da pessoa que solicita e a necessidade dessa pessoa para ter essa informação. Aposte em uma “dupla autenticação” no mundo físico, sem acreditar de primeira nos telefonemas e mensagens que chegam até você.

Além disso, lembre-se sempre que os departamentos de TI reais e seus serviços financeiros nunca pedirão sua senha ou outras informações confidenciais por telefone ou e-mail.

O risco é ainda maior quando as empresas não possuem políticas claras de segurança. É importante que a política de segurança seja cumprida e que os funcionários compreendam que não serão punidos por respeitar essa política, mesmo que isso torne a ação mais lenta.

Os colaboradores devem ter o poder de reconhecer ameaças potenciais e tomar decisões de segurança corretas por conta própria, de modo que mesmo solicitações muito realistas de informações seguras possam ser instintivamente atendidas com ceticismo e cautela.

Incorporar consciência de segurança tão profundamente nas mentes dos funcionários é um desafio significativo que envolve muito mais do que programas periódicos de conscientização.

A melhor maneira de mitigar o risco representado por métodos de ataques de engenharia social em rápida evolução é através de um compromisso organizacional com uma cultura de segurança.

Finalizando

O treinamento contínuo em conjunto com softwares de proteção avançada proporcionará aos colaboradores as ferramentas necessárias para reconhecer e responder às ameaças de engenharia social. Em paralelo, o apoio da equipe executiva criará uma atitude de apropriação e responsabilidade que incentiva a participação ativa na cultura de segurança.

Thiago Magalhães — Analista de Segurança