5 minute read
Segurança
Outubro – Mês da segurança
O mês de outubro é conhecido há anos como “Outubro Rosa ” , para conscientização e prevenção de dois tipos de câncer: colo do útero e de mama. Mas o período também engloba uma campanha desconhecida para a maior parte da população: a conscientização sobre segurança cibernética. Na verdade, a campanha é norte-americana, mas aos poucos está sendo adotada no Brasil por fornecedores de origem norteamericana e profissionais que acham uma boa ideia uma iniciativa voltada a aumentar o conhecimento e a conscientização sobre segurança digital.
Nos Estados Unidos, a campanha teve início em 2004, e sua origem mostra o envolvimento das autoridades americanas no tema, tendo como patrocinadores a Presidência da República e o Congresso. A execução é feita pelas agências de Segurança Cibernética e Segurança da Infraestrutura – The Cybersecurity and Infrastructure Security Agency (CISA) – e da Aliança Nacional de Segurança Cibernética –National Cybersecurity Alliance (NCA). Entre os objetivos de ambas está promovê-la internacionalmente. O tema da campanha este ano foi o indivíduo: “See Yourself in Cyber” , ou, em tradução livre, “Veja você mesmo na Cibernética ” . A palavra “Cyber” em inglês acabou sendo associada à segurança, e se tornou um diminutivo para cybersecurity. Os alvos foram amplos, atingindo toda a sociedade, dos usuários às empresas, passando pelos profissionais da área. Sobretudo para os indivíduos, a mensagem foi muito forte: que as pessoas devem se tornar protagonistas da segurança digital e não meros espectadores passivos.
A campanha focalizou em quatro ações, de acordo com o exposto no site do CISA: • Pense antes de clicar: reconheça e denuncie phishing - Se um link parecer um pouco estranho, pense antes de clicar. Pode ser uma tentativa de obter informações confidenciais ou instalar malwares. • Atualize seu software: Não demore - Se você vir uma notificação de atualização de software, aja imediatamente. Melhor ainda, ative as atualizações automáticas. • Trabalhe com senhas fortes, longas, exclusivas e geradas aleatoriamente - Utilize gerenciadores de senhas para gerar e lembrar senhas diferentes e complexas para cada uma de suas contas. Um gerenciador de senhas irá criptografar senhas e protegê-las. • Habilite a autenticação multifator - É preciso mais do que uma senha para proteger contas online, e habilitar a MFA – Multi-Factor Authentication diminui significativamente a probabilidade de uma invasão.
Todas as ações acima fariam com certeza parte de qualquer campanha corporativa de conscientização, e tratam o usuário comum, o indivíduo, como alguém que pode tomar o controle do cuidado com seus dados e informações. É um pouco diferente da abordagem de que segurança deveria ser algo totalmente transparente para o usuário final. Mesmo que o software utilizado tenha uma alta eficiência em bloqueio de tráfego malicioso, por exemplo, no bloqueio de phishing, não se pode garantir 100% de efetividade, e sempre haverá uma situação em que o sucesso da intrusão estará nas mãos do usuário final.
Já do lado das empresas, a convocação da campanha é que se tornem “parte da solução ” , nas palavras do CISA. Em outros termos, se vejam como atores importantes para a defesa da infraestrutura do país. Aqui no Brasil, o Congresso está longe de liderar medidas de defesa cibernética, mas o GSI - Gabinete de Segurança Institucional, órgão da Presidência da República, atua na estruturação de um ecossistema nacional, o que inclui a proteção da infraestrutura crítica nacional, definida como as áreas de defesa, nuclear, transporte, comunicações, financeiro, águas e energia. Desde o início, as autoridades brasileiras entenderam que a proteção não ocorreria sem a participação das empresas que atuam nos segmentos, e investiram na integração delas com o setor militar, via os exercícios anuais Guardião Cibernético, organizados pelo COMDCIBER – Comando de Defesa Cibernética do Exército Brasileiro.
Eu não vejo como no futuro não atingir ou manter níveis seguros de uso da tecnologia sem o protagonismo individual. O crime se ajusta às mudanças tecnológicas com velocidade e flexibilidade. O grande exemplo é o roubo de aparelhos celulares para acesso aos aplicativos bancários, e consequente desvio de valores. Enquanto as autoridades policiais e a própria indústria financeira procuram meios de lidar com o problema, são os indivíduos que têm que se adaptar para que o celular, uma vez roubado ou furtado, não seja usado para tal. O nível de cultura e conhecimento das pessoas também está aumentando, e as novas gerações começam a vida adulta totalmente integradas e confortáveis com a tecnologia. Podem perfeitamente ter o protagonismo da sua segurança pessoal, como, aliás, ocorre com a proteção física.
Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.
Outro motivo para a importância dessa ação é que o foco do cibercrime é cada vez maior no indivíduo. Mesmo ataques às empresas utilizam o usuário final, seja via e-mail, engenharia social ou download involuntário de código malicioso. Assim não é exagero afirmar que a segurança corporativa está nas mãos de seus colaboradores. Um tipo de fraude que vem chamando atenção é o de perfis falsos no site Linkedin, o mais utilizado para perfis profissionais, como sabemos, e de impostores em pedidos de emprego. Criminosos estão criando perfis falsos ou inventando pessoas em cargos gerenciais de grandes empresas. Perfis de falsos CISOs da Chevron e Exxonmobil apareceram no Linkedin, ou utilizando dados verdadeiros de profissionais em pedidos de emprego. Uma história bastante curiosa foi contada no blog do Bruce Scheneier em 10 de outubro, onde um programador descobriu uma companhia que contratava falsários para pedir empregos usando perfis de outras pessoas. Ele era uma das vítimas. Não se sabe ao certo a motivação. Suspeita-se de hackers tentando ser contratados por empresas, utilizando perfis de pessoas reais ou falsos de executivos para entrar em contato e obter informações confidenciais. Pode-se dizer que é a velha engenharia social, mas o ponto é que até mesmo a enganação pode ganhar novas roupagens.
Marcelo Bezerra é gerente técnico de segurança para América Latina da Cisco. Com formação nas áreas de administração e marketing, Bezerra atua há mais de 15 anos em redes e segurança de sistemas. E-mail: marcelo.alonso.bezerra@gmail.com.
