quinta-feira, 4 de junho de 2015

Segurança Digital - Empresas

quinta-feira, junho 04, 2015 por Gabriel Silva No comments


Algumas pessoas nomeiam a época atual em que vivemos, como a “Era da informação”, pois tivemos milhares de avanços dentro da sociedade, principalmente nas formas de comunicação entre as pessoas, melhoras na medicina, expectativa de vida das pessoas maiores, o surgimento de várias empresas e outros eventos que contribuíram para a nomenclatura desta época.

Porém, apesar dos avanços que já tivemos, ainda somos falhos quando se trata de segurança, sendo essa pública ou de informação. Em uma rápida observação em qualquer grande portal de notícia em seu histórico de notícias e também as mais atuais vocês verão um grande número de notícias falando sobre vazamento de dados, graças a invasões por parte de Crackers a Sistemas de Grandes e médias empresas, sendo elas de qualquer setor. Só esse exemplo de pesquisa, já deixa exposta a falta de segurança relacionada a dados de usuários, pois no final, são sempre eles os verdadeiros prejudicados pela imprudência destas empresas.

Graças a grande variedade de ataques existentes, a cada dia, se torna mais difícil garantir a proteção de dados de seus clientes por parte das empresas, pois estas, não se percebem a verdadeira gravidade que é exposta pela falta de investimentos nos setores de segurança da informação. E por esta razão, Cybers Criminosos se aproveitam e até mesmo se arriscam ao efetuar ataques diretamente por parte de engenharia social, expondo seus rostos para suas vitimas, mas é claro, sem que elas saibam suas verdadeiras intenções.

Mesmo sabendo que poderão um dia se tornar vitima de cybers criminosos, as empresas simplesmente ignoram o fato de não oferecem segurança aos dados de seus clientes, pela ideia vaga de que “se nunca aconteceu, não tem porque se preocupar”, e no final, quando se tornam vitimas, acabam sendo processadas pelos clientes e algumas chegando até mesmo a abrir falência, por falta de recursos, e de clientes que vieram a se afastar, por culpa da falta de segurança oferecida por estas empresas. Só percebem que os prejuízos causados por estas “invasões”, podem chegar à casa dos milhões, quando já estão sofrendo as consequências e o preço pela imprudência.

É importante ressaltar que além de sistemas inseguros, haverá também funcionários língua solta. Onde, em rápida conversa, poderão fornecer informações de produtos ou serviços que a empresa planeja oferecer para os clientes futuramente, e ao expor estas informações para desconhecidos, estará prejudicando a empresa. Pois informações como esta, poderão ser comercializadas, afinal, é apenas espionagem industrial.


Mas deixando claro que não estou generalizando, pois existem empresas que realmente se preocupam com as consequências que a imprudência poderá trazer, e investem pesado na segurança de seus sistemas e em treinamentos para seus funcionários, pois o risco não está apenas na falta de segurança dos sistemas, mas também, na falta de segurança imposta pelos funcionários, pois os engenheiros sociais poderão aproveitar-se de funcionários facilmente manipuláveis. Mas ao investir em treinamentos e mais segurança, poderá evitar que este tipo de ataque venha a ocorrer. Estes são princípios básicos de riscos que os Empresários deveriam conhecer.


Identificando Empresas inseguras

Como qualquer pessoa que valoriza cada centavo que ganha, se preocupa em como gastar seu dinheiro, e principalmente, que não seja em algo sem importância, também deveria se preocupar em onde ela coloca seu dinheiro, precisamente, na segurança que o local oferece para os dados pessoais da pessoa.

Observe bem o que direi, em minha experiência em Segurança da Informação que venho adquirindo com os anos, tenho observado cada local onde coloquei meus dados pessoais, não somente se atentando a lojas virtuais onde fiz compras, ou mesmo em sites ou serviços que assinei, mas sim, em empresas físicas no qual depositei meus dados. Também observo os locais onde foram feitos negócios entre meus familiares, a forma que eram tratados, a forma que os funcionários agiam, o comportamento do local, a organização do local, a forma que os dados eram armazenados, a segurança dos sistemas da empresa e a segurança física dos documentos, tudo foi analisado, pois sempre me coloco como observador nestas situações, pois é um hobby que tenho. Pois bem, nessa analise, conclui que cada empresa física no qual acompanhei negociações de meus familiares, são completamente inseguras, quando se tratam do tratamento de informações. 

Sendo assim, definir um padrão para cada uma:
  • Sem o tratamento correto de lixo: Veja bem, parece loucura observar o lixo das pessoas, mas na verdade não é, pois o lixo da pessoa, revela muito sobre ela, imagina então o lixo de uma empresa? Por padrão, são guardadas cópias de documentos (processos, Documentos pessoais de Clientes, entre outros) impressos, e quando a cópia sai com defeito (sujo pequeno na página, por exemplo), simplesmente é amassado o papel e jogado no lixo. Sendo que informações assim são valiosas demais para empresas concorrentes e espiões industriais.
  • Funcionários de hierarquia inferior tem acesso a informações que não deveriam e são Língua Soltas: Pois bem, é tão comum achar funcionários assim em qualquer empresa em que você visita que chega a ser quase obsoleto falar sobre. Mas veja bem, encontrar um funcionário língua solta pode ser comum, mas encontrar um funcionário assim, com informações sobre produtos que apenas pessoas que trabalham neles, deveriam saber isso já não é comum. Isso pode fielmente prejudicar o desenvolvimento a empresa e seu crescimento. Também pode ser classificado como vazamento de informações.
  • Sistemas infectados por Malwares: Qualquer técnico em informática por ai, sempre se depara com computadores infectados de seus clientes, isso é até relevante. Mas uma empresa possuir computadores infectados, e principalmente, sem a segurança adequada para os sistemas, e ainda tratar de informações que são de seus clientes, isso, é uma grande imprudência. Pode gerar processos judiciais, se tais dados simplesmente vazarem.
  • Acesso aos dados de clientes liberado para qualquer um: Algo que não deve ser feito em hipótese alguma, é permitir que qualquer pessoa tenha acesso livre aos dados de clientes. E isso ocorre com tanta frequência, que chega a assustar, pois o risco de alguém que não trabalhe na empresa ter acesso a esses dados, é muito grande, sendo que nem seria necessário enganar alguém, bastava invadir um dos computadores.
  • Falta de Segurança nos Computadores: Se os computadores estão infectados por Malwares, isso já é a prova de que não existe uma politica e muito menos práticas de segurança dentro da empresa. Ou seja, está tudo exposto para quem quiser entrar, aliais, seria até simples demais.

Tudo que foi citado acima ocorreu na vida real, ou melhor, durante algumas visitas que fiz durante algumas negociações de alguns familiares meus. Certamente é algo que realmente assusta só de pensar, a falta de prudência e Respeito com seus clientes, por causa da falta de investimento no setor de segurança da informação e de treinamento para os funcionários.

Mas com certeza você deve está se perguntando, "O que isso tem haver com Segurança Digital?", certamente, tudo. Pois um cyber criminoso pode muito bem ir em busca de informações em um lixeiro de alguma empresa, e se achar, poderá compartilhar estas informações na internet, tornando-a basicamente públicas para todos. Ou poderá utilizar os dados para a prática de extorsão. Por este motivo, quando um lixo gerado a partir de cópias incompletas de documentos consideráveis sigilosos, deve-se imediatamente queimar todas as cópias incompletas, em vez de só amassar e jogar no lixo. Assim, existirá a garantia de segurança. 


Você investe, você cobra

Por direito do cidadão, você tem todo o direito de reclamar a falta de segurança que a empresa oferece para seus dados, além disso, você também deve cobrar melhorias por parte destas empresas, afinal, você está investindo dinheiro e está expondo seus dados, você e mais centenas de clientes fazem a empresa funcionar, ou seja, o poder de pedir melhorias está com você.

Inicie uma Conversa com algum funcionário, pergunte sobre coisas mais sigilosas da empresa, caso seja revelado algo, denuncie o funcionário para a diretoria, pois ele é uma garantia de que haverá vazamento de informações. Também, busque saber quais soluções de segurança são usadas pela empresa para manter seus dados seguros. Procure se informar quando foi feita a ultima auditoria de Segurança nos sistemas da empresa. Afinal, você será o maior prejudicado, caso haja alguma invasão no sistema deles.

Se você é empresário ou sócio de alguma empresa, e leu este artigo e ficou em dúvidas sobre a segurança de sua empresa? Não fique em dúvidas, busque soluções que venham a favorecer seus clientes, pois é melhor prevenir do que remediar na maioria das vezes.

Oferecemos Serviços de Teste de Invasão e Consultoria em Segurança, caso você possua uma empresa, primeiramente, veja nossa página sobre Testes de Invasão, e se sentir interesse, entre em contato conosco que poderemos esclarecer qualquer dúvida ou negociar, pois temos uma equipe muita boa a disposição.

É isso pessoal, qualquer dúvida, deixe um comentário ou entre em contato pelas redes sociais.

Até a próxima!

Categories: , , , ,

0 comentários:

Postar um comentário

Assinar: Postar comentários (Atom)
Subscribe to RSS Feed Follow me on Twitter!