É comum associarmos questões de segurança da informação a eventos do tipo contaminação por vírus, roubos de senhas e, mais recentemente, o “sequestro” de dados. Sim, de fato, tais eventos podem ocorrer, o que nos faz pensar em como nos prevenir).
Em primeiro lugar, temos que considerar que as questões de segurança não se resumem aos eventos de ataque virtual explícito, tais como os citados acima.
Grande parte dos problemas de segurança começa com o comportamento das pessoas, no uso dos recursos tecnológicos. Comportamentos descuidados ou indevidos acabam por abrir brechas de segurança, facilitando os ataques cibernéticos.
Vou enumerar aqui os cinco comportamentos de risco, que são frequentes e que fragilizam o ambiente tecnológico das organizações, de modo geral.
1. Anotar o seu login e senha e deixar esta informação em local visível e de fácil acesso. Em mais de 20 anos de TI, já vi de tudo! Até senha escrita em post-it e colada no monitor do PC! Se você sente a necessidade de anotar estes dados, faça-o em local reservado, onde somente você terá acesso. Proteja sua senha, ela é sua assinatura no mundo virtual!
2. Usar o login/senha de outra pessoa ou “emprestar” o login/senha para alguém. Quando você utiliza as credenciais de acesso (login+senha) de outra pessoa, está se passando por ela. E, quando cede a sua para alguém, está permitindo que alguém se passe por você. É uma situação de risco e que deve ser evitada. Lembre-se de que, ainda que haja uma relação de confiança, as pessoas podem errar! E as consequências são desagradáveis para todos.
3. Compartilhamento indevido de informações. Uma grande falha identificada em várias organizações é a ausência de um processo de classificação das informações. Em tempos de redes sociais, a compulsão por compartilhar informações, seja através de fotos, vídeos, áudios e textos pode gerar problemas.
Antes de divulgarmos uma informação, devemos ter certeza de que ela pode/deve ser conhecida por todos (domínio público), ou não (confidenciais e restritas). Nem sempre temos condições ou poder de decidir sobre isto. Neste caso, procure orientação superior. Peça ajuda a um líder ou a um colega mais experiente, por exemplo.
4. Engenharia Social. É incrível a facilidade com que certas pessoas conseguem extrair informações de outras, a partir um simples telefonema! A engenharia social se baseia em várias técnicas. A mais conhecida é aquela onde alguém faz uso de suas habilidades de comunicação, muitas vezes abusando da ingenuidade ou da confiança das pessoas, para obter informações. Devemos estar atentos, qualquer informação deve ser prestada a quem dela necessita e possua autorização para acessá-la. Outro ponto a ser observado aqui é o uso das redes sociais, evite registrar informações sensíveis e dar detalhes de sua rotina pessoal e profissional.
5. Documentos físicos. Em meio a tanta tecnologia, não podemos nos esquecer do papel. Ele ainda existe! Muito cuidado no manuseio e guarda de seus documentos físicos. Atenção para não esquecê-los sobre as mesas, na copiadora e, ao descartá-los, destrua-os, para que não caiam em mãos de pessoas mal intencionadas.
Nos próximos posts, darei dicas para proteção das informações corporativas.
Utilizarei a família de normas ISO 27000 como referência. Assim, você terá orientações profissionais, suportadas por normas técnicas adotadas internacionalmente.
Se você gostou deste post e se interessa pelo tema, curte, compartilha e leia os próximos!
Abraços.
Margareth Morais
(*) Margareth Morais é analista de sistemas, administradora, consultora sênior em gestão corporativa e gestão de serviços de TI.