- Entrou
- Mai 11, 2007
- Mensagens
- 4,596
- Gostos Recebidos
- 0
Os gestores mais bem posicionados na hierarquia das empresas tendem a menosprezar preocupações de segurança, convencidos de que estão desprotegidos. Isso acaba por originar vários problemas à equipa de TI.
Hoje as redes sociais são fonte de preocupações enormes para os profissionais de TI responsáveis pela segurança da informação. Mas, de acordo com o consultor de segurança e CIO da empresa Stratagem 1 Solutions, Jayson Street, os funcionários em geral não deveriam ser o cerne da preocupação, mas sim a actividade de altos executivos da organização. Street aponta que os executivos com acesso a informações confidenciais representam os alvos prediletos dos criminosos online. Mas não é só por isso:
1 – Sentem-se acima das regras de segurança
Street afirma que, por serem as pessoas mais importantes dentro das empresas, os executivos têm privilégios que lhes tomam muito tempo. Isso dá a sensação de não estarem sujeitos a seguir as politicas de segurança. “Acham que o firewall serve para os outros, e que os bloqueios não devem ser aplicados nos seus postos de trabalho”, explica. “Os executivos não querem ter o tráfego das suas máquinas filtrado, rastreado ou monitorizado. Dessa maneira, escapam aos proxies, a única protecção com a qual contavam.” Pelo facto de serem executivos, o golpe é normalmente muito mais refinado e pessoal, dando a impressão de ser alguma mensagem oriunda de um remetente legítimo, apesar do anexo ser um arquivo danoso.
2 – As TI resolvem tudo
“Depois de um executivo executar um arquivo anexado e ter a máquina infectada, é certo que vai pedir ajuda ao departamento de TI e indagar por que ninguém cuidou da segurança”, diz Street. Recentemente o analista concluiu uma série de testes de penetração para dois hotéis: obteve acesso aos servidores e enviou mensagens falsas fazendo-se passar pelo CEO da empresa responsável pelo suporte técnico do hotel.
“Depois, perguntei por que motivo me tinham deixado entrar. E a resposta foi que o dono do hotel costumava fazer isso”
A questão é: o executivo, nesse caso o proprietário do hotel, não compreende que, ao agir dessa maneira (não tendo um sistema que verifique o remetente de mensagens eletrônicas), expõe toda a organização a um risco desnecessário, confiante na protecção das TI.
3. O engano da tecnologia de ponta
“Os CIO são um alvo predilecto dos criminosos por usarem sempre recursos modernos de segurança”, afirma, curiosamente Street. “Quem, dentro da empresa, vai ter permissão de usar o iPhone mais recente ou poderá ter um iPad ligado à rede interna para receber e-mails?”, Street. Os altos executivos. “Compram notebooks com sistemas não homologados, querem o laptop ultrafino e leve, capaz de executar determinadas tarefas”, diz. O problema é que esses dispositivos não passam pelo crivo do TI nem são configurados para aceder à rede de maneira segura. Frequentemente também têm a impressão de o departamento de TI já estar apto a lidar com as falhas intrínsecas às novas tecnologias – é onde se enganam. “Os executivos partem do princípio de que “mais moderno” significa “mais seguro”. Mesmo assim, insistem em ligar-se à rede a partir das suas residências, e acabam por confundir-se com os dois ambientes”.
4 – A família ignora os riscos
“O criminoso procura sempre chegar ao executivo de uma maneira mais fácil. Como o departamento de TI pode estar atento às mensagens da caixa de entrada do CIO, é mais fácil ir atrás da esposa e dos filhos nas redes sociais, como o Facebook”, afirma Street. É comum o executivo partilhar seu computador com o resto da família.“Por que não infectar o computador da esposa e esperar que o executivo se ligue na rede empresarial? O ambiente de rede doméstico é mais fiável do que o corporativo e o firewall está configurado para manter regras menos rigorosas de bloqueio de tráfego. É a maneira mais prática de chegar ao executivo ”.
Segundo o analista, estar atento a esse perigo é importante, inclusive, para os membros da família – alvos fáceis para as ações criminosas. “Quando se trata de milhões de dólares e há a intenção de roubar segredos corporativos, ou de espiar as ações de concorrentes, o mais fácil é incluir toda a gente presente na rede de contatos do executivo-alvo”, finaliza Street.
Computerworld
_____________
Hoje as redes sociais são fonte de preocupações enormes para os profissionais de TI responsáveis pela segurança da informação. Mas, de acordo com o consultor de segurança e CIO da empresa Stratagem 1 Solutions, Jayson Street, os funcionários em geral não deveriam ser o cerne da preocupação, mas sim a actividade de altos executivos da organização. Street aponta que os executivos com acesso a informações confidenciais representam os alvos prediletos dos criminosos online. Mas não é só por isso:
1 – Sentem-se acima das regras de segurança
Street afirma que, por serem as pessoas mais importantes dentro das empresas, os executivos têm privilégios que lhes tomam muito tempo. Isso dá a sensação de não estarem sujeitos a seguir as politicas de segurança. “Acham que o firewall serve para os outros, e que os bloqueios não devem ser aplicados nos seus postos de trabalho”, explica. “Os executivos não querem ter o tráfego das suas máquinas filtrado, rastreado ou monitorizado. Dessa maneira, escapam aos proxies, a única protecção com a qual contavam.” Pelo facto de serem executivos, o golpe é normalmente muito mais refinado e pessoal, dando a impressão de ser alguma mensagem oriunda de um remetente legítimo, apesar do anexo ser um arquivo danoso.
2 – As TI resolvem tudo
“Depois de um executivo executar um arquivo anexado e ter a máquina infectada, é certo que vai pedir ajuda ao departamento de TI e indagar por que ninguém cuidou da segurança”, diz Street. Recentemente o analista concluiu uma série de testes de penetração para dois hotéis: obteve acesso aos servidores e enviou mensagens falsas fazendo-se passar pelo CEO da empresa responsável pelo suporte técnico do hotel.
“Depois, perguntei por que motivo me tinham deixado entrar. E a resposta foi que o dono do hotel costumava fazer isso”
A questão é: o executivo, nesse caso o proprietário do hotel, não compreende que, ao agir dessa maneira (não tendo um sistema que verifique o remetente de mensagens eletrônicas), expõe toda a organização a um risco desnecessário, confiante na protecção das TI.
3. O engano da tecnologia de ponta
“Os CIO são um alvo predilecto dos criminosos por usarem sempre recursos modernos de segurança”, afirma, curiosamente Street. “Quem, dentro da empresa, vai ter permissão de usar o iPhone mais recente ou poderá ter um iPad ligado à rede interna para receber e-mails?”, Street. Os altos executivos. “Compram notebooks com sistemas não homologados, querem o laptop ultrafino e leve, capaz de executar determinadas tarefas”, diz. O problema é que esses dispositivos não passam pelo crivo do TI nem são configurados para aceder à rede de maneira segura. Frequentemente também têm a impressão de o departamento de TI já estar apto a lidar com as falhas intrínsecas às novas tecnologias – é onde se enganam. “Os executivos partem do princípio de que “mais moderno” significa “mais seguro”. Mesmo assim, insistem em ligar-se à rede a partir das suas residências, e acabam por confundir-se com os dois ambientes”.
4 – A família ignora os riscos
“O criminoso procura sempre chegar ao executivo de uma maneira mais fácil. Como o departamento de TI pode estar atento às mensagens da caixa de entrada do CIO, é mais fácil ir atrás da esposa e dos filhos nas redes sociais, como o Facebook”, afirma Street. É comum o executivo partilhar seu computador com o resto da família.“Por que não infectar o computador da esposa e esperar que o executivo se ligue na rede empresarial? O ambiente de rede doméstico é mais fiável do que o corporativo e o firewall está configurado para manter regras menos rigorosas de bloqueio de tráfego. É a maneira mais prática de chegar ao executivo ”.
Segundo o analista, estar atento a esse perigo é importante, inclusive, para os membros da família – alvos fáceis para as ações criminosas. “Quando se trata de milhões de dólares e há a intenção de roubar segredos corporativos, ou de espiar as ações de concorrentes, o mais fácil é incluir toda a gente presente na rede de contatos do executivo-alvo”, finaliza Street.
Computerworld
_____________