Empresas precisam adotar postura proativa sobre segurança, afirma Microsoft

Por Felipe Demartini | 26 de Junho de 2020 às 11h43
Gerd Altmann/Pixabay
Tudo sobre

Microsoft

Saiba tudo sobre Microsoft

Ver mais

A segurança digital se tornou assunto frequente no noticiário de tecnologia, mas não é como se brechas, vazamentos de informação ou golpes fossem novidades — tais aspectos apenas se intensificaram neste ano, com bandidos se aproveitando de um momento de fragilidade e regras de proteção não tão bem aplicadas. Os ensinamentos desse período, porém, serão eternos e, para a Microsoft, a mudança de postura deve permanecer mesmo depois que as corporações retornarem a seu cotidiano normal.

Ao falar sobre o assunto, Nycholas Szucko, diretor de vendas em cibersegurança da Microsoft para a América Latina, abordou também o aspecto psicológico envolvido em ataques desse tipo, que mais do que interromperem os processos de forma direta, exercem grande pressão sobre gestores, administradores e demais envolvidos na resolução de falhas e comprometimentos. Com a aproximação de normas federais como a Lei Geral de Proteção de Dados, essa necessidade de cuidado só se tornou maior.

“Ataques cibernéticos são eventos emocionais”, afirma Szucko, explicando que, como tais, eles também necessitam de atenção. Mais do que isso, para o especialista, é necessário que a segurança seja parte integrante do dia a dia dos profissionais de uma empresa, com programas de informação, treinamento e simulações que, ao mesmo tempo, impeçam a exploração de brechas e criem uma cultura de ação rápida caso problemas venham a acontecer.

Dicas para começar

Essa mudança de cultura deve ser gradual, de forma a não se tornar traumática, com Szucko indicando alguns caminhos para as companhias que precisam iniciar esse processo. Antes da implementação de medidas, o executivo fala na adoção de uma nova abordagem, que ele chama de política “zero trust”, ou “confiança zero”, em inglês. Basicamente, é a ideia de que todos são suspeitos até que se prove o contrário.

Regras de acesso devem envolver múltiplos fatores de autenticação, tanto no uso da rede quanto dos dispositivos utilizados no dia a dia (Imagem: The Digital Way/Pixabay)

O objetivo é criar um conjunto de regras que garantam a segurança dos ambientes conectados e minimize os riscos, principalmente em um ambiente em que o trabalho remoto se tornou essencial. Os desafios, como foram chamados por ele, garantem o acesso condicional mediante alguns elementos, que precisam coexistir para que os dados e sistemas sejam protegidos.

O básico é a adoção de autenticação em múltiplo fator. Normalmente, se fala em duas etapas, mas o especialista aponta que mais passos garantem uma segurança maior. Além de senhas e códigos gerados por aplicativos autenticadores, ele sugere o uso de soluções de biometria para acesso a dispositivos e aos próprios sistemas.

Apesar disso, Szucko pede que as empresas fujam do SMS como fator de autenticação. A solução é frágil, pois os códigos podem ser interceptados por meio de clonagens de chip ou obtidos caso um bandido tenha acesso a um celular roubado. “Aplicativos e até e-mails são opções melhores, mas, na falta delas, é melhor usar as mensagens de texto do que não ter absolutamente nada”, completa.

Outro aspecto importante é o uso de senhas, que devem ser efetivamente aleatórias e não seguirem um padrão em caso de atualização mensal. Utilizar [email protected]# como uma credencial parece ser uma alternativa amigável a todos os envolvidos em um processo, mas a sensação de segurança se torna falsa quando, no mês seguinte, a senha é F3v3r3ir02020#. Um hacker, de olho nesse aspecto, pode facilmente obter acesso em um ataque de força bruta.

Por fim, o especialista cita o estabelecimento de regras de acesso como essenciais. O ideal, segundo ele, é manter o sistema ativo apenas para os funcionários que precisam utilizar, e apenas durante o expediente de trabalho. “Verificações de localização ajudam a identificar acessos não-autorizados, assim como a identificação de dispositivos estranhos”, completa, indicando também o uso desta diferenciação nos Wi-Fis domésticos, com uma rede exclusiva para visitas e entretenimento, por exemplo, e outra para o PC e celular usados no trabalho.

Vale a pena, ainda, atrelar às regras alguns padrões do próprio sistema, como a presença de determinados softwares de segurança ou protocolos de autenticação de dispositivos, assim como a presença de atualizações de sistema operacional. Dessa forma, as falhas mais comuns e corrigidas pelos desenvolvedores são mitigadas.

Constância

Testes internos e externos devem fazer parte da cultura de segurança, com programas de bug bounty e jogos de guerra servindo para encontrar vulnerabilidades antes que elas possam ser usadas por terceiros maliciosos

A implementação de medidas de segurança não para por aí, entretanto. A aplicação de regras e protocolos é apenas a fundação do castelo, com o restante da construção acontecendo no dia a dia na medida em que os times responsáveis acompanham o status da segurança digital, aplicam treinamentos e disseminam informação entre as equipes. Para Szucko, a abordagem de segurança deve ser parecida com a de treinamentos de incêndio comumente aplicados em prédios comerciais e corporações, de forma que todos saibam o que fazer caso algo efetivamente aconteça.

Aqui, o especialista retorna à ideia de que ciberataques são eventos amplamente emocionais e, da mesma forma, o preparo ajuda na entrega de uma resposta rápida e adequada. Neste aspecto, diferentes iniciativas podem servir para criar essa cultura constante de segurança e preparação entre os colaboradores.

Aos times especializados, o executivo indica uma análise de ameaças em andamento e relatórios de segurança emitidos por parceiros do setor. Vale a pena observar as principais brechas e métodos de golpe e imaginar como tais explorações poderiam acontecer na própria estrutura, trabalhando para evitar os problemas antes que eles aconteçam.

Testes internos de segurança e “jogos de guerra” entre equipes internas também podem ajudar. Os especialistas podem ser divididos em times que tentam atacar e defender as estruturas da rede, de forma que brechas e vulnerabilidades possam ser descobertos pelos integrantes da própria estrutura. Caso não haja pessoal ou especialização para isso, Szucko indica a contratação de pentesters, hackers éticos que trabalham justamente na descoberta e exploração de falhas que possam estar presentes nas redes corporativas.

Extrapolando esse conceito, Szucko conclui indicando a criação de um programa de bug bounty como outro bom caminho. Com recompensas financeiras, especialistas podem se sentir convidados a explorar os muros do castelo em busca de pontos de entrada, descobrindo brechas e avisando os responsáveis antes que um intruso faça a mesma coisa, com resultados danosos.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.