pessoas-e-segurança-da-informação

Por Reinhold Spandl – Gerente de Soluções da Módulo Security Solutions

Segurança da Informação? Isso é problema da organização, não tem a ver com minha vida!

Então vamos lá…

  • Você possui um Smartphone?
  • Você possui uma Smart TV?
  • Você faz monitoramento por CFTV de sua residência via internet?
  • Você faz uso de redes sociais?
  • Você tem um cartão de crédito com 3 números de código de segurança no verso?
  • Você mora em um condomínio?
  • Você acha que segurança da informação é só no mundo digital?

Se respondeu “sim” para alguma dessas perguntas, isso tem a ver com você: pessoa.

A vida das pessoas está cada vez mais conectada por diversos meios: smartphone, TV, carro, CFTV e em breve vários de seus eletrodomésticos estarão popularizados quanto à integração com o mundo IP. Leia a reportagem abaixo como complemento, meramente informativo:

“Trend Micro says up to 6.1 million devices, including this smart TV, haven’t patched a software vulnerability dating from 2012.” Credit: Trend Micro

Logo, não é só a segurança nas organizações que se faz necessária, mas a segurança na vida das pessoas também. Então, como se utilizar disso para fazer a segurança na organização? É este o gancho que se pretende abordar aqui.

É fato que pessoas são o elo mais fraco na segurança da informação, mas não estamos fazendo a abordagem incorreta na hora de sensibilizá-las?

Se você quer ter sucesso, foque no ser humano e não no colaborador/funcionário. Motivo? A segurança da informação é vista como algo chato, que atrapalha, que cria burocracia. Porém, quando o foco passar a ser o dia a dia não profissional, será muito mais interessante para as pessoas e, neste momento, a percepção da importância mudará.

Quando se capacita uma pessoa em segurança física tendo como objeto de estudo o seu local de moradia, a mensagem fica muita mais atraente, porque diz respeito a seus interesses pessoais. A tendência dessa pessoa é se tornar um “evangelista”, pois, sendo capacitada e treinada, naturalmente levará as práticas ao seu condomínio, por exemplo, e logo perceberá que não basta fazer o certo. Ela também terá que sensibilizar todos os moradores e empregados. Afinal, se um falhar, todos são colocados em risco.

Pode parecer que não, mas ainda hoje a maioria das pessoas, em sua vida particular, não possuem a real percepção dos riscos a que estão expostas em função do mundo digital e da velha e perigosa engenharia social. A conectividade atual aliada à engenharia social acarretou uma elevação exponencial dos riscos, como, por exemplo, os sites de relacionamento, que se apresentam como um ambiente com considerável números de crimes acontecendo.

Assim, a primeira coisa a ser feita é desmistificar que a gestão de riscos é algo que diz respeito somente às empresas e instituições do Estado. A mesma é o processo base da segurança da informação, mas também está presente em nossas vidas. Sempre fizemos gestão de riscos em nossas vidas e sempre faremos, como por exemplo:

  • Quando criança, ao testar os limites de seus pais
  • Quando se atravessa uma rua
  • Quando se faz uma ultrapassagem
  • Quando se decide por investimento
  • Quando se compra um carro ou um apartamento
  • Quando se joga na mega-sena (risco positivo também conta)

O cérebro humano é uma máquina de gestão de riscos. Quando você sente medo em uma situação de conflito, por exemplo, ele está dizendo: CUIDADO, ALERTA, PREPARA-TE – e faz isso ao disparar uma resposta fisiológica que libera adrenalina para que você fique atento a tudo a sua volta. Ele te prepara para o enfrentamento ou fuga. O problema é que esta mesma máquina, quando frente a uma “grande oportunidade”, tende a minimizar outras ameaças que estão presentes. Então, temos que capacitar e treinar esta máquina.

Primeiro, descomplique as situações e exemplos. Não utilize de “informatiquês” ou outras linguagens estritamente corporativas. Faça uso do cotidiano das pessoas, como cartões de créditos, e-mail particular, redes sociais, alarmes que exigem famigeradas senhas. 3, 4, 5 e 6! Para a maioria das pessoas isso é uma verdadeira “Missão Impossível”, então ela vai repetir a senha, colocar datas, usar sequências, anotar, dentre outras formas para facilitar a lembrança, que também facilitam as técnicas utilizadas para acessá-las e quebrá-las.

Importante: cada sistema, software ou equipamento tem um nível de segurança. Então, se ela repete um padrão, basta atacar o mais fraco.

Solução? Ensine a pessoa a utilizar algoritmo a partir de um padrão de frases, por exemplo, que possua significado para ela, mas que derive de um ÚNICO modelo de regra de conversão que só ela conheça. Ela também utilizará isso na sua corporação.

Aborde práticas do dia a dia que tenham relação direta com a vida da organização, como:

  • Cofre ou alarme em casa?
  • Correspondências com caráter sigiloso: declaração de imposto de renda, contracheque ou faturas de cartão de crédito em cima da mesa?

Empregado, vizinho, amigo, por mais confiáveis que sejam, não possuem o direito ou necessidade de ter acesso a essas informações. Se tiverem, que seja pontual e restrito ao necessário. Tenha sempre em mente: acesso apenas a quem tem DIREITO E NECESSIDADE. Se não, É NÃO! O mesmo vale para o contexto da organização.

A engenharia social, de uma forma bem simplista, tem por objetivo manipular pessoas e/ou acessar informações para os mais diversos fins, desde um sequestro até mesmo a uma simples abordagem para relacionamento pessoal. É pura manipulação das fraquezas e ingenuidades que todos nós temos, e não há como impedir. Quem já não caiu em uma brincadeira de um amigo porque iria se dar bem? Mas pode-se reduzir a probabilidade de sucesso de uma abordagem por engenharia social, capacitando e treinando as pessoas para que, por exemplo:

  • Desconfie da urgência que uma pessoa lhe coloca para resolver uma situação fora do normal
  • Desconfie do famoso “sabe com quem está falando”
  • Desconfie de pergunta que a princípio não tem muito a ver com sua função ou que a pessoa deveria saber e não perguntar
  • Não compartilhe o que não é de interesse dos outros, não conte seus segredos, pois estes serão suas fraquezas
  • Desconfie de vantagens e ganhos pessoais exagerados

Ressalte que as abordagens extremadas são as que mais se deve desconfiar. Algumas vezes são abordagens focadas na pressão e outras na presteza, os dois extremos são estratégias para que se baixe a guarda (por intimidação ou simpatia). De novo, o mesmo vale para sua organização.

Trate seus funcionários pelo que eles são: pessoas, indivíduos com interesses e necessidades próprias e, por este caminho, tente abordá-los e aculturá-los nas práticas de segurança. Por exemplo, não peça a ele para não falar das coisas da empresa, porque este é o comportamento dele enquanto pessoa. Nas redes sociais comportamentos se apresentam como um “prato cheio” para uma primeira abordagem de engenharia social. Algumas pessoas informam onde moram, que horário chegam (identificado por meio das postagens), que estarão de férias do dia x ao dia y, que o animal de estimação foi para um hotel de cães, que aproveitará para fazer uma reforma com “Joaquim” e assim por diante. Então, falar demais é comportamental, não basta proibir com regras.

Não existe segurança 100% e jamais existirá! Utilize o que as pessoas mais prezam em suas vidas: família, dignidade, bens e outras coisas que para o ser humano são de grande valia, e um aliado capacitado e treinado terá.

Então, fica aqui a dica: Proteja a PESSOA e a FAMÍLIA do seu funcionário/colaborador que este protegerá sua organização.

Mas atenção! Mantenha a máxima de que sua segurança é tão forte quanto seu elo mais fraco. Por isso, controles que visem ao POLICY ENFORCEMENT são fundamentais. Afinal, somos todos pessoas suscetíveis às falhas humanas, propositais ou não.

Clique aqui e conheça as soluções desenvolvidas pela Módulo para ajudar sua empresa a realizar uma eficiente Gestão de Riscos.

Compartilhe conhecimentoShare on LinkedInShare on FacebookTweet about this on TwitterShare on Google+
http://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/12/fator-humano.pnghttp://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/12/fator-humano.pngMódulo SecurityGestão de RiscosGRC - Governança, Riscos e ComplianceProfissionais de TISegurança da Informação
Por Reinhold Spandl - Gerente de Soluções da Módulo Security Solutions Segurança da Informação? Isso é problema da organização, não tem a ver com minha vida! Então vamos lá... Você possui um Smartphone? Você possui uma Smart TV? Você faz monitoramento por CFTV de sua residência via internet? Você faz uso de redes sociais? Você tem um...