Contato

Segurança da Informação: boas práticas dentro e fora do trabalho

EXPERIÊNCIA
Leandro Silva, CISO na Zoox Smart DataLeandro Silva, CISO na Zoox Smart Data - 27 de Janeiro de 2023.

Durante o ano de 2021, mais de 20 milhões de brasileiros tiveram seus dados vazados em ataques cibernéticos ou brechas de segurança em sistemas. Com isso, o Brasil assumiu o 6º lugar no ranking de países com mais vazamentos no mundo em 2021, segundo a empresa Surfshark.

Já em 2022, o país registrou aumento de 94% de tentativas de ataques cibernéticos a empresas com relação ao primeiro semestre de 2021. Segundo a empresa de segurança Axur, o Brasil segue como campeão dos vazamentos de cartões de crédito e débito com 720.643 cartões expostos em 2021 - 33,2% do total de cartões expostos no mundo.

Os dados mostram que o cenário das ameaças é preocupante - aproveite para ver a imagem abaixo, que mostra as empresas envolvidas em casos de incidentes de segurança em 2021, segundo o Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados (IBRASPD). Mas um fato que não muda é que, cada vez mais, milhões de bytes circulam diariamente na internet e você faz parte desse ecossistema.

Se você ainda não domina o conceito de segurança da informação, este artigo é uma oportunidade para aprender a zelar melhor pelos seus dados e pelas informações da sua empresa.

Impressionantemente, pequenas ações no dia a dia podem reduzir bastante a chance de um problema de segurança - esteja você no trabalho ou em casa, independente do dispositivo.

Afinal, o que é Segurança da Informação?

A segurança da informação é o principal conceito que permeia a proteção de dados e define processos e métodos para o acesso, controle e o tratamento desses dados. De maneira resumida, a Segurança da Informação pode ser definida como:

a proteção contra o uso ou acesso não autorizado à informação, bem como a proteção contra a negação do serviço a usuários autorizados, enquanto a integridade e a confidencialidade dessa informação são preservadas.

Ao pensarmos na aplicabilidade desse conceito em uma empresa, os principais elementos de uma política de segurança da informação devem ser considerados:

  • Disponibilidade: o sistema deve estar disponível de forma que, quando o usuário necessitar, possa usar. Dados críticos devem estar disponíveis ininterruptamente;
  • Integridade: o sistema deve estar sempre íntegro e em condições de ser usado;
  • Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por eles liberado;
  • Autenticidade: o sistema deve ter condições de garantir que a informação e/ou a identidade dos usuários está correta, ou seja, que os usuários são quem dizem ser;
  • Legalidade: valor legal das informações dentro de um processo de comunicação.

Com isso em mente, vamos passar agora pela definição de alguns dos golpes mais comuns, abordando dicas para se proteger contra eles.

O que é o tão falado Phishing e como se proteger?

Imagine os dois seguintes contextos:

  1. Você recebe um e-mail que parece ser de uma loja com uma ótima oferta por tempo limitado, você clica no link que aparece no e-mail, preenche o número do cartão, mas, ao enviar, a página fica em branco ou fecha imediatamente.
  2. Ou pense que você atende uma ligação dizendo ser do seu banco e, para oferecer uma proposta interessante, precisa confirmar as suas informações. Porém, ao invés de confirmar, você é quem fornece seu nome, CPF, dados da conta e outras informações. Logo após responder, a ligação cai.

Esses dois cenários descrevem um comportamento muito comum do ataque chamado phishing e é responsável por 90% dos roubos de dados, como e-mail, senhas, dados bancários e cartões de crédito, segundo a empresa Cyxtera, provedora de segurança digital focada na detecção e prevenção de fraudes eletrônicas.

Esse golpe é um dos principais vetores de ataques a empresas, pois, com  dados de cadastro de um cliente em mãos, é possível sofisticar a fraude, desenvolvendo, por exemplo, um Ramsonware.

Escute o podcast com o autor deste artigo sobre 'Cibersegurança: Por que colaboradores devem estar no centro da estratégia?'

E o Ransomware?

Também conhecido como sequestro de dados, é um tipo de ataque onde o criminoso acessa de forma indevida um documento, computador ou banco de dados, criptografa a informação - tornando-a inacessível pelo usuário ou empresa - e cobra um valor para sua liberação.

Veja uma típica mensagem de um golpista abaixo:

As pessoas com acesso a bancos de dados e servidores precisam de atenção especial às suas credenciais e computadores de trabalho. Um simples descuido pode vazar uma chave de acesso e dar início a um ataque.

O mesmo vale para desenvolvedores, pois se colocarem a chave de acesso em um código, ou esquecerem de retirar após um teste e fizerem um commit, a chave pode facilmente ser acessada por pessoas não autorizadas.

Lembrando que um commit é um conjunto de mudanças provisórias permanentes, marcando o fim de uma transação, ou seja, quando outros usuários fizerem uma atualização ou check-out no repositório, eles receberão a última versão confirmada com todas as informações - um prato cheio para fraudadores.

Ransomwares também se tornaram cada vez mais comuns - veja na imagem abaixo o gráfico que mostra os casos de ramsomware com repercussão na mídia em 2021.

Então, como se proteger?

Irrevogavelmente, "Conhecimento é poder”

Essa expressão do filósofo Francis Bacon endossa preceitos da Segurança da Informação e corrobora a sua importância. Uma vez que você tem acesso a dados, informações e documentos sensíveis de pessoas ou empresas, é fundamental não permitir que caiam em mãos erradas.

Por isso, separei aqui 16 dicas para se proteger nos ambientes online e físico para você sempre ter em mente (e um bônus também - para desenvolvedores).

12 dicas para se proteger no ambiente online

  1. Confira o e-mail do remetente, não somente o nome. Você pode notar o e-mail bem diferente do que deveria ou com uma ou mais letras erradas
  2. Suspeite de e-mails ou ligações pedindo urgência para clicar num link ou passar uma informação
  3. Quando passa o mouse sobre um link, o destino é diferente do informado
  4. Se o e-mail tiver vários erros de gramática, ortografia ou símbolos entre as letras, é bem provável que seja um golpe
  5. Verifique se o e-mail possui imagens de baixa qualidade, formatação ruim ou marca errada da empresa
  6. Anexos precisam de atenção especial, especialmente com extensões perigosas e fáceis de ter um malware, como .exe .bat
  7. Mantenha sempre seu sistema operacional e antivírus atualizados e legalizados
  8. Sempre que possível, ative opção de autenticação por múltiplos fatores (2FA ou MFA)
  9. Utilize um aplicativo de gerenciamento de senhas, não repita senhas e sempre use senhas complexas
  10. Nunca compartilhe suas credenciais com ninguém. Especialmente no trabalho, isso pode dar início a um ataque maior à empresa
  11. Não instale programas piratas ou de fontes não oficiais, pois podem conter vírus, malwares, etc
  12. Evite acessar sites suspeitos, clicar em ofertas de promoções, prêmios, entre outros

4 dicas para se proteger no ambiente físico

Principalmente no ambiente corporativo precisamos de atenção especial. Já pensou se a pessoa do financeiro deixa uma planilha de salários aberta, se ausenta e alguém olha e tira uma foto? O transtorno que pode trazer?

  1. Nunca deixe seu computador desbloqueado quando se ausentar dele, conhecida como política da tela limpa, prevista na ISO 27001
  2. Não deixe papéis com informações confidenciais ou sensíveis à vista de todos, principalmente quando não estiver na mesa, também chamada de política de mesa limpa, também prevista na ISO 27001
  3. A proteção física de um notebook fora do escritório também é importante. O ideal é que se tenha o HD criptografado para reduzir a chance de acesso não autorizado, especialmente em caso de roubo ou furto
  4. Evite fotografar o ambiente de trabalho. Se tirar fotos, observe bem o que está na imagem para não expor informações sensíveis que podem estar em telas, documentos físicos, quadros, entre outros.

Quem lembra do caso de vazamento de senha envolvendo a Lisa Kudrow? A atriz de Friends revelou acidentalmente a senha do computador com uma nota de Post-It.

13784644-7055881-image-a-18_155847820507913785804-7055881-image-a-17_1558478197177

Bônus: recomendação especial para desenvolvedores

Além de todas as recomendações já apresentadas, desenvolvedores precisam de atenção especial ao código que escrevem e às suas chaves de acesso:

  • Nunca comite uma senha de banco de dados ou chave de acesso à um recurso de nuvem, e sempre utilize recursos como .env (dotenv)
  • Sempre coloque o .env para ser ignorado pelo sistema de gerenciamento de código, como git
  • Utilize ferramentas de análise de código e as integre ao pipeline do desenvolvimento, preferencialmente ao CI/CD
  • Muita atenção aos dados fornecidos pelo usuário final e sempre os sanitize a fim de evitar um sql injection, por exemplo
  • Ao exibir informações digitadas pelo usuário final, as sanitize também para evitar, por exemplo, um cross site scripting

Escute também o episódioHeader---Podcast-#22-Prevenção-a-fraudes-com-decisões-data-driven

Comentários

Materiais Gratuitos