Os gestores mais bem posicionados na hierarquia das empresas tendem a menosprezar preocupações de segurança, convencidos de que estão desprotegidos. Isso acaba por originar vários problemas à equipa de TI.
Hoje as redes sociais são fonte de preocupações enormes para os profissionais de TI responsáveis pela segurança da informação. Mas, de acordo com o consultor de segurança e CIO da empresa Stratagem 1 Solutions, Jayson Street, os funcionários em geral não deveriam ser o cerne da preocupação, mas sim a actividade de altos executivos da organização. Street aponta que os executivos com acesso a informações confidenciais representam os alvos prediletos dos criminosos online. Mas não é só por isso:
- Sentem-se acima das regras de segurança - Street afirma que, por serem as pessoas mais importantes dentro das empresas, os executivos têm privilégios que lhes tomam muito tempo. Isso dá a sensação de não estarem sujeitos a seguir as politicas de segurança. “Acham que o firewall serve para os outros, e que os bloqueios não devem ser aplicados nos seus postos de trabalho”, explica. “Os executivos não querem ter o tráfego das suas máquinas filtrado, rastreado ou monitorizado. Dessa maneira, escapam aos proxies, a única protecção com a qual contavam.” Pelo facto de serem executivos, o golpe é normalmente muito mais refinado e pessoal, dando a impressão de ser alguma mensagem oriunda de um remetente legítimo, apesar do anexo ser um arquivo danoso.
- As TI resolvem tudo - “Depois de um executivo executar um arquivo anexado e ter a máquina infectada, é certo que vai pedir ajuda ao departamento de TI e indagar por que ninguém cuidou da segurança”, diz Street. Recentemente o analista concluiu uma série de testes de penetração para dois hotéis: obteve acesso aos servidores e enviou mensagens falsas fazendo-se passar pelo CEO da empresa responsável pelo suporte técnico do hotel. “Depois, perguntei por que motivo me tinham deixado entrar. E a resposta foi que o dono do hotel costumava fazer isso” . A questão é: o executivo, nesse caso o proprietário do hotel, não compreende que, ao agir dessa maneira (não tendo um sistema que verifique o remetente de mensagens eletrônicas), expõe toda a organização a um risco desnecessário, confiante na protecção das TI.
- O engano da tecnologia de ponta - “Os CIO são um alvo predilecto dos criminosos por usarem sempre recursos modernos de segurança”, afirma, curiosamente Street. “Quem, dentro da empresa, vai ter permissão de usar o iPhone mais recente ou poderá ter um iPad ligado à rede interna para receber e-mails?”, Street. Os altos executivos. “Compram notebooks com sistemas não homologados, querem o laptop ultrafino e leve, capaz de executar determinadas tarefas”, diz. O problema é que esses dispositivos não passam pelo crivo do TI nem são configurados para aceder à rede de maneira segura. Frequentemente também têm a impressão de o departamento de TI já estar apto a lidar com as falhas intrínsecas às novas tecnologias – é onde se enganam. “Os executivos partem do princípio de que “mais moderno” significa “mais seguro”. Mesmo assim, insistem em ligar-se à rede a partir das suas residências, e acabam por confundir-se com os dois ambientes”.
- A família ignora os riscos - “O criminoso procura sempre chegar ao executivo de uma maneira mais fácil. Como o departamento de TI pode estar atento às mensagens da caixa de entrada do CIO, é mais fácil ir atrás da esposa e dos filhos nas redes sociais, como o Facebook”, afirma Street. É comum o executivo partilhar seu computador com o resto da família.“Por que não infectar o computador da esposa e esperar que o executivo se ligue na rede empresarial? O ambiente de rede doméstico é mais fiável do que o corporativo e o firewall está configurado para manter regras menos rigorosas de bloqueio de tráfego. É a maneira mais prática de chegar ao executivo ”.
Segundo o analista, estar atento a esse perigo é importante, inclusive, para os membros da família – alvos fáceis para as ações criminosas. “Quando se trata de milhões de dólares e há a intenção de roubar segredos corporativos, ou de espiar as ações de concorrentes, o mais fácil é incluir toda a gente presente na rede de contatos do executivo-alvo”, finaliza Street.
Fonte: Computerworld
Nenhum comentário:
Postar um comentário