segurança-da-informação

Segurança da informação: o mito do usuário como elo fraco

No mundo conectado que vivemos, o volume de dados gerados é enorme. Nunca foi tão necessário investir em segurança da informação como hoje.

Com o propósito de defender essa quantidade de dados, a segurança da informação apresenta políticas, processos e métodos que asseguram que eles estejam acessíveis somente aos seus responsáveis de direito ou as pessoas às quais foram enviados.

Mas onde o “elo fraco” se encaixa nessa história?

Muitos problemas como vazamento de informações ou invasões em sistemas ocorrem devido ao erro de peças fundamentais do processo, mas não necessariamente o usuário final tem culpa disso.

Compreendendo o “elo fraco” em Segurança da Informação! 

segurança-da-informação-elo-fraco

Desde que entrei na área de segurança da informação, sempre me ensinaram uma equação com relação a este tópico: “elo fraco = usuário final”.

Ou seja, em encontros era comum falarem sobre a dificuldade de monitorar e proteger o “elo mais fraco (usuário final)” dos perigos de fora da corporação, como engenharia social, spam, phishing e outros.

Dessa forma, criou-se um estigma de que todos os esforços deveriam ser alocados para prevenção de problemas vindo do usuário, mas não é bem assim.

Exemplo da mudança do elo fraco

Em resumo: você é administrador de um datacenter com IDS/IPS robustos, configurados e rodando.

Possui processos sólidos de segurança das informações implantados em todos os setores da companhia e seus servidores de aplicação e sistemas estão endurecidos (hardening) e fechados em containers.

Nesse meio tempo, alguém se atreve a escanear via NMAP um IP ativo da companhia. Você vai receber um alerta em sua tela e também o IP exato que originou o ataque.

E isso mesmo com o atacante sob a rede TOR e por trás de uma VPN. Com isso, você consegue identificar a localização exata do atacante em tempo real.

A intimidação

Então, com posse desses dados, você envia uma mensagem automática via script para o atacante, pedindo para parar a ofensiva ou a polícia estará em sua casa em 30 minutos. 

Este parece um mundo hipotético maravilhoso, não acha? Praticamente um sonho no mundo de Segurança da Informação.

Por outro lado, imagine que nesse mesmo cenário você esqueceu um detalhe dentro de toda a governança de segurança da informação da empresa.

A fim de causar problemas, um usuário conseguiu acessar o CPD e inicializar a partir de uma mídia externa um dos servidores e alterou a senha de administrador local da máquina…

BUUMMM! Todo o seu trabalho foi para o espaço e, no mínimo, você terá uma reunião dolorosa com a diretoria depois disso. Qual era o “elo fraco” nesse caso?

Mesmo com tudo em ordem, detalhes podem estragar tudo

Nesse sentido, digamos que seus servidores não inicializem a partir de mídia externa porque possuem uma inicialização segura ativada por senha de administrador.

Apesar disso, você coloca em produção um novo aplicativo web sem fazer uma auditoria de segurança de ciclo de vida completo.

Por exemplo, esse aplicativo pode conter uma falha de SQL onde um invasor, remotamente, pode ter acesso ao banco de dados através do aplicativo.

Sem autenticação, ele também pode excluir todas as tabelas da folha de pagamentos criada pela equipe financeira. Qual era o “elo fraco” nesse caso?

Certamente malwares exploram fraquezas em um sistema. Quando dentro, pode infectá-lo, se espalhar e executar tarefas avançadas nesse sistema sem nenhuma interação humana. Quem é o “elo fraco” neste caso?

O que eu quero dizer com isso? É essencial para qualquer equipe ou profissional de SI ou TI, esquecer a ideia de que o usuário final é sempre o “elo fraco”.

Segurança da Informação e os pontos fracos

Qualquer ponto de entrada que não foi auditado pelo seu processo devido é o seu ponto fraco.

Dessa forma, um usuário passível de engenharia social, um roteador sem fio com WPS ativado sem necessidade, um aplicativo de terceiros que precisa ser implantado e não foi auditado adequadamente, tudo precisa passar por análise antes de ser feito.  

Assim como se você tem 1000 pontos de entrada em sua empresa e tratar apenas 999, o único ponto que foi deixado para trás se torna o seu “elo fraco”.

Como “toda corrente é tão forte quanto seu elo mais fraco”, essa falha pode causar danos incalculáveis.

Tudo que você precisa saber sobre Segurança de Dados!

Como evitar falhas e danos causados por brechas em segurança da informação?

Não existe uma receita de bolo que você pode replicar e ter todos os detalhes necessários para deixar seu ambiente sem brechas.

Como os ambientes de TI são diferentes um dos outros, algumas boas práticas são úteis para tornar suas noites de sono bem mais tranquilas.

Detalhes custam caro

Os detalhes são importantes. Entenda que nenhum ambiente é 100% seguro o tempo todo. Mesmo que você tenha uma governança de segurança da informação com todos os pontos auditados.

Igualmente, se algum detalhe passar e você não corrigir essa pequena lacuna, a porta estará aberta para um possível ataque.

Capacitação da equipe

Você não poderá trabalhar bem em nenhum sistema se não houverem pessoas qualificadas ao seu lado!

Um lembrete: Uma equipe capacitada performa melhor que um time totalmente novo. Além disso, você reterá mais talentos, dando a eles a oportunidade de crescer profissionalmente através do conhecimento adquirido.

Acima de tudo, seus colaboradores são o seu produto mais valioso! Profissionais bem treinados e felizes vão vender mais, trabalhar melhor, monitorar os inputs de entrada de dados com mais eficácia, etc. 

GSI – Governança de segurança da informação.

Consideramos que todos os detalhes não tratados no ambiente podem ser um “elo fraco”. Esta área visa melhorar as relações da área de segurança da informação com todas as outras áreas do negócio.

Ou seja, é onde a empresa elabora estratégias que proporcionam maior segurança para o ambiente corporativo como um todo, sem afetar as demandas dos clientes internos e externos.

Em outras palavras, esse setor cria, monitora e ajustad os processos que envolvem governança.

Isso envolve várias questões, como por exemplo criar e implementar uma cultura de segurança da Informação com os funcionários de RH e o tempo de resposta para cada tipo de incidente que será gerido pela equipe de SOC.

Todo o ciclo de segurança da empresa é tratada de forma macro, dividindo em micro-tarefas e distribuindo-as entre as equipes e seus líderes, que acompanharão cada atividade implantada do início ao fim.

O que é Pentest e como ele pode ajudar e minha empresa?

Aperfeiçoamento constante

Atualize-se sempre, adquira conhecimento e nunca se acomode.

Verifique a possibilidade de certificações na área de Segurança da Informação, escolha estrategicamente os membros da equipe que irão se especializar em gestão e quem irá se especializar tecnicamente para ocupar uma posição em um Red Team, por exemplo.

É importante ter o feeling e conhecer o perfil de cada pessoa, onde ela melhor se encaixa e investir em treinamentos periódicos.

Ao mesmo tempo, você pode levar alguns membros da equipe para palestras ou eventos de Segurança da Informação da Informação, onde conhecerão realidades diferentes da vivida dentro da empresa e terão aprendizados valiosos. 

Conclusão

Por muito tempo, interpretamos errado o setor de TI. Antigamente, esse setor da empresa era visto como um mal necessário, mas hoje é imprescindível para qualquer negócio que atue com tecnologia e queria causar um impacto relevante na sociedade.

A segurança da informação era prioridade somente em grandes empresas, se tornando hoje uma necessidade básica para todos, pelo menos em conhecimento.

Para evitar, inclusive, que a polícia federal bata em sua porta depois que alguém usou sua rede sem fio mal configurada, para baixar, por exemplo, materiais proibidos ou ilegais. 

Deixe seu comentário se você terminou esta leitura hoje com um senso de urgência com relação a analisar e entender qual o elo mais fraco em sua empresa, rede local ou residência!

Lembre-se sempre: “Você é tão forte quanto o seu elo mais fraco.”

Encontre vagas para desenvolvedores nas empresas mais seguras do mercado!

Compartilhar
You May Also Like

Pentest: o que é?

O Teste de Intrusão, é mais conhecido como Pentest na prática, nada mais é que um método capaz de avaliar a segurança de um sistema computacional ou de uma rede,…
Compartilhar