As empresas precisam se proteger contra a “engenharia social” – e não podem esperar para fazê-lo

Artigo de Fábio Ferreira, gestor da empresa Lozinsky Consultoria:

O grande volume de ciberataques, nas últimas semanas, teve grande repercussão midiática, mas não deveria surpreender. Apesar dos alertas constantes emitidos por consultorias e especialistas de segurança da informação, as empresas mostram-se mais vulneráveis do que acreditam estar. E a engenharia social é um dos maiores riscos que elas ainda não estão preparadas para enfrentar.

Engenharia social refere-se a um conjunto de técnicas que se vale de investigações pessoais, truques de persuasão e outros recursos psicológicos para explorar as vulnerabilidades da arquitetura de segurança das empresas, facilitando o uso de mecanismos como phishing ou ransonware. O ambiente mais fértil para essa manipulação são as redes sociais, onde é possível conhecer a rotina e as preferências das pessoas, para então usar essas informações de modo a induzi-las a adotar condutas maliciosas.

O Brasil está entre os maiores consumidores de redes sociais do mundo. Alguns estudos apontam um tempo médio de conexão com as redes de três horas e meia diárias, enquanto outros falam em até cinco horas. Apesar da divergência de dados, não resta dúvida de que a exposição do brasileiro a esse ambiente digital é expressiva, com vulnerabilidade proporcional.

O LinkedIn representa um risco maior, pois ali as pessoas expõem onde trabalham e os cargos que ocupam. Isso permite que criminosos enviem mensagens mais direcionadas. Porém, outras redes, como Instagram e Facebook, também abrem espaço para descobrir interesses e preferências do colaborador. Por exemplo, é bastante simples para um criminoso digital identificar que determinado colaborador gosta de golfe, para em seguida enviar uma mensagem anunciando “promoções de tacos de golfe”, ou algo semelhante, com a intenção de fisgar esse usuário para uma ação maliciosa.

Riscos desse tipo seriam menores se as normas de governança corporativa fossem mais respeitadas. Mas os fatos comprovam que a realidade está distante disso: mesmo os usuários mais conscientes não ficam alerta 24 horas por dia, o que dizer daqueles que não receberam a devida orientação. Recentemente, conduzimos um phishing simulado em uma empresa e chegamos a ter 90% de usuários clicando em um link malicioso.

Ainda que a empresa empregue bons recursos antifraude, tenha bons firewalls e uma arquitetura de segurança sofisticada, tudo isso terá pouca valia se a mensagem maliciosa é acessada no equipamento corporativo a partir de um e-mail particular. Essa é a maior porta de vulnerabilidade para ataques de ransomware.

Apenas a lei não basta

A necessidade de educar o usuário é imperiosa, mas isso não implica em aumentar a severidade da punição para quem se vê vítima dessas técnicas. Na verdade, há muito pouco a fazer em termos de punição, pois não há dolo do funcionário em acionar aquele código malicioso – são ações culposas, diferentes de um vazamento intencional de dados, por exemplo. Ensejar uma reprimenda mais pesada para esse tipo de deslize pode até descaracterizar o ambiente de trabalho, criando uma atmosfera ácida, cheia de proibições e inibidora da inovação.

Porém, a mentalidade precisa se transformar. Um exemplo perfeito do equívoco cometido pela maioria das empresas foi a primeira fase de adequação à LGPD. Esse movimento levou em conta mais os aspectos jurídicos que os técnicos. As empresas se preocuparam com termos e consentimentos, e o lado da TI ficou um pouco renegado. Não houve tanta preocupação com controle de acesso, segurança de TI e outras questões tecnológicas, que podem minimizar os riscos.

Além de investir na conscientização para a mudança de hábitos, as empresas também deveriam se preocupar com mecanismos que podem aumentar a segurança, como a virtualização dos desktops, também conhecida como VDI ou DaaS (Desktop as a Service). Esse conceito permite maior separação dos ambientes de trabalho pessoal e corporativo e garante o menor impacto possível na segurança de dados. A medida traz um ganho notável de segurança, principalmente quando aplicada a colaboradores que desfrutam de maior poder de acesso.

A segurança da informação não é feita por ações reativas e, sim, preventivas. Ainda existem empresas que não investem o suficiente em proteção por considerar que o risco de repercussões judiciais é baixo. Estão duplamente enganadas: colocam a si e aos seus clientes em posição vulnerável, e ficam sujeitas a multas e TACs (termos de ajustamento de conduta) que podem ter custos literalmente milionários – como vem acontecendo com frequência nos casos recentes.

Além dos danos já mencionados, existem outros dois prejuízos importantes. O primeiro é o impacto de imagem, que dependendo do negócio pode ser irreparável. E o outro é a paralisação da operação, imprescindível para conter os efeitos de um ataque.

A tecnologia se tornou estratégia para os negócios – e também para o crime. Por isso, as empresas precisam mudar sua abordagem, procurando criar uma cultura de segurança, até porque a responsabilidade por proteger dados é de todos que lidam com eles. 

Deixe uma resposta