Introdução

Para que uma organização minimize a probabilidade de sofrer um ataque informático é recomendada uma doutrina de segurança que vise proteger não só a infraestrutura em que esta está assente, mas também promover de forma permanente o treino e a educação dos seus funcionários.

Atualmente o phishing tem-se tornado numa arma letal contra as organizações, e tem ganho por isso bastante relevância e “poder de fogo” no mundo digital. Os ciber atacantes têm tirado partido desta abordagem dado que ela se tornou num canal tão simplificado para fazer chegar às vítimas toda a sua engenhosa maquinaria maliciosa. Quando se fala em phishing e engenharia social em geral, não nos queremos focar principalmente na entrega de malware através de campanhas fraudulentas — a engenharia social é muito mais do que isso.

Uma das técnicas amplamente empregue dentro deste contexto são os Business Email Compromise (BEC) attacks, e que têm como objetivo comprometer uma conta de um executivo de uma empresa — normalmente o CEO — e com isso solicitar a transferência de fundos ou de documentação sensível para determinado repositório da posse do atacante. Este tipo de ataques podem ser alavancados através do comprometimento de uma conta de e-mail ou também através de e-mail spoofing. Este problema de segurança está a afetar um grande número de empresas em todo o mundo e estima-se que em 2018 sejam desviados mais de 9 biliões de dolares pelos criminosos em esquemas desta linha.

 

Rumo à Ciber Higienização

A ciber higiene diz respeito aos cuidados básicos de segurança no ciberespaço, ou melhor, no mundo cada vez mais online. Ciber higiene surge do termo inglês Cyber Hygiene que começou a ser bastante popular desde agosto de 2005, segundo o Google Trends. Este conceito trouxe agarrada a importância da aplicação das boas práticas de segurança nas diversas vertentes da segurança da informação com a finalidade de prevenir ciber ataques tanto para indivíduos como para organizações.

ciber-higiene-trends 

É possível fazer uma analogia de ciber higiene com a nossa higiene pessoal. Por exemplo, tomar banho e escovar os dentes são atividades primárias e indispensáveis para qualquer indivíduo que preza pela sua higiene pessoal. Gestão de risco, implementação de controlos de acesso e monitorização ativa são exemplos de atividades também elas primárias e indispensáveis para quem preza a proteção e segurança do seu ciberespaço contra ameaças e ataques informáticos.

 

Com a entrada em vigor do novo regulamento que visa responsabilizar as empresas e os indivíduos pelo tratamento de dados pessoais (RGPD), tornou-se indispensável a criação de uma nova doutrina nas organizações e nas pessoas.

São necessárias garantias mínimas de segurança ao nível de infraestrutura — diversificação e segmentação para uma melhor aplicação de boas práticas — e também dotar as pessoas de treino e consciencializá-las para esta importante temática da segurança.

pilares-ciber-higiene

 

 

Ciber Higiene — Para uma Melhor Proteção

O foco da ciber higiene é segmentar as atividades diárias e aplicar uma melhor segurança a cada uma delas — como diz um ditado africano, “se pelo caminho encontrares um elefante, então parte o elefante às postas”. Nestes dias, é quase obrigatório e urgente a necessidade de especialistas em cibersegurança nas empresas. Avaliar a necessidade dos sistemas, consciencializar os funcionários — não nos seria possível definir a quantidade de tarefas ao qual um especialista da área poderia estar alocado. No entanto, em baixo são elencadas algumas medidas que visam uma implementação mínima e adequada tanto do ponto de vista organizacional como da vertente humana — a peça mais vulnerável do tabuleiro.

 

Implementar um sistema de backups
Os sistemas falham e podem ser comprometidos. Implemente um sistema de backups.

Gestão de riscos de segurança
Contrate alguém da cibersegurança por mais pequena que seja a organização. Faça a gestão de risco dos sistemas e torne isso pauta de reunião.

Gestão de controlo de acessos
Desativar contas de ex-funcionários e fornecer apenas o acesso necessário para os colaboradores realizarem as respectivas funções do dia a dia pode ser um bom início.

Autenticação nos sistemas
Proteja os sistemas contra acessos não autorizados. Altere a palavra-passe padrão. Defina palavras-passe complexas (p.ex., maiores que 9 carateres com um misto de letras, números e carateres especiais). Utilize um modelo de segundo fator de autenticação.

Filtros de SPAM no email
A organização deve estar apetrechada com IDSs de rede ou outro tipo de mecanismos de forma a filtrar e gerar alertas de e-mails potencialmente maliciosos. A maioria dos BEC attacks podem ser detetados numa fase precoce.

Registe domínios semelhantes
Evite ataques de email spoofing. Registe domínios similares aos da sua organização. Crie regras SPF e DKM ao nível do DNS.

Treinar e consciencializar os funcionários relativamente à engenharia social
Promova ações de formação. Apresente casos práticos. Consciencialize os funcionários da sua organização.

Teste a organização
Contacte uma entidade do sector da segurança de forma a “testar” os funcionários da organização contra ataques de phishing. Valide se eles aprenderam e realizaram o TPC. Promova esses eventos várias vezes ao ano.

Audite a organização
Realize auditorias de segurança regulares.

 

 

De resto, mantenha-se atualizado e procure sempre o caminho certo. Lembre-se do conceito de clean desk, e não deixe documentos importantes espalhados pela sua secretária. Alguém pode ler, tirar uma foto, levar para casa e partilhar. Seja asseado, a sua organização agradecerá.

 

 

Powered by RISEMA


risema

Este artigo é patrocinado pela RISEMA, uma empresa da área da informática fundada em 1992 e com soluções para micro, pequenas e médias empresas.