A Symantec publicou uma interessante brochura informativa sobre segurança nas empresas, com casos práticos, mais concretamente com erros que muitas vezes ocorrem no meio empresarial, mais nas pequenas e médias empresas e que custam caro.
De modo a consciencializar os leitores e gestores, hoje deixamos 10 alertas que visam precaver de possíveis ataques e/ou uso indevido da nossa informação (seja ela pessoal, empresarial ou de outro tipo).
Assim, compilamos 10 dicas já veiculadas pela empresa de segurança e reforçamos com mais sugestões paralelas. São pormenores que, por vezes, fazem toda a diferença entre ter um parque informático estável ou um rombo nas suas finanças, quando estão em causa danos nos seus dados empresariais.
Erro 10 – Encontra uma penUSB perdida e liga-a para ver o que tem
Este é um dos métodos mais usados actualmente para infecção de sistemas e posteriormente roubo de informações . Esta ataque, que dá pelo nome de Scam Baiting, é uma forma fácil de propagar malware e com as ferramentas que estão ao serviço do crime, não é difícil que tenham total controlo da sua máquina, remotamente, sem que o utilizador dê conta. Por exemplo, imagine que chegou a escola e viu um CD que dizia “Fotos”. Por curiosidade, o utilizador vai pegar no CD, colocar no seu sistema e, sem que se aperceba, é infectado pelo malware contido no mesmo.
Erro 9 – Anunciar que vai estar fora do escritório
É comum configurar uma resposta automática no email a dar conta que estará ausente por determinado período. Isso poderá ajudar quem do outro lado necessita de ter tempo para atacar o seu servidor ou toda a sua estrutura informática.
Dependendo do que os criminosos souberem sobre a sua actividade, o tempo poderá ser um factor importante, para a intrusão. No ano passado, o valor dos ataques às PMEs dobrou, situando-se nos 36%. Este tipo de informação só ajudam o cybercrime.
No caso de um administrativo, a documentação que normalmente está acessível na secretária, poderá também ser “apetecível” por alguns elementos internos à organização.
Erro 8 – Não aceite “amigos” nas suas redes sociais que desconhece
Porque aceita pessoas nas suas redes sociais, onde muitas vezes troca informação importante sobre a sua actividade, com pessoas que desconhece? Quem lhe garante que a pessoa por trás daquele perfil é tão inofensiva como os poemas que coloca no mural?
70% das PMEs não têm uma política de segurança para as redes sociais, o que fazem destes serviços um potencial elevado em termos de intrusão. Este é um dos mais apetecíveis canais para propagar vírus, malware e fraudes. As pessoas nunca acham que têm amigos de sobra e coleccionam potenciais criminosos na sua lista de “amigos”.
Erro 7 – Usar Smartphone e Tablets sem código de acesso
Erro gravíssimo. Muitas pessoas, grande parte delas mesmo, não usam códigos de segurança para dar acesso ao conteúdos dos Smartphones e Tablets. Perder um dispositivo destes, ou mesmo ser vítima de furto, é tão comum e os dados lá contidos permitem acessos aos serviços mais privados conteúdos que podem haver numa empresa. Nos Smartphones existem emails com dados de acesso a contas bancárias, dados de acessos a base de dados de clientes e fornecedores, notas importantes sobre transacções e movimentos de capitais e um vasto leque de informação pessoal.
Coloque um sistema de código ou sistema de desbloqueio secreto nos seus dispositivos, incluindo os seus computadores. Normalmente os utilizadores só se lembram desta questão quando perdem o equipamento.
Erro 6 – Descarregar apps não fidedignas para os dispositivos móveis
Segundo dados da Symantec, todos os meses o malware nas apps mobile cresce 55%, e os utilizadores insistem em instalar aplicações em Stores não oficiais, o que não favorece a segurança, aumentando o risco de invasão de malware e acesso indevido a dados existentes no Smartphone.
Mesmo nas aplicações das Stores oficiais, devem ser atentamente lidos os requisitos para que não sejam permitidos acessos a informação em excesso, dentro do Smartphone.
Erro 5 – Enviar dados sensíveis usando redes WiFi abertas
Imagine por exemplo que durante o fim-de-semana foi a uma loja e a determinada altura, depois de já ter entrado em mais de 20 lojas, aproveitou para tomar um café e verificou, através do Smartphone, que existe uma rede aberta para acesso a Internet. Como a rede não requer qualquer tipo de chave, o utilizador acede facilmente à rede e começar a navegar, consultando os sites aos quais acede diariamente, introduz credenciais para os vários serviços online (seguros ou não)… etc, etc.
E se alguém estiver a controlar o tráfego do cliente com o objectivo de capturar informações? E se os pedidos de acesso a páginas fidedignas (ex. bancos, e-mail) estão a ser redireccionados para sites idênticos mas que na verdade têm como objectivo a captura de dados? De referir que normalmente é o próprio ponto de acesso que atribui a configuração de rede (IP + DNS) aos clientes. Um Rogue APs Wifi é normalmente um ponto de acesso wireless, não autorizado na rede, que tem como objectivo a captura de informações dos utilizadores.
Erro 4 – Deplorar segurança de dados sensíveis
Muitas pessoas, para enviar informação, de dentro das empresas para as suas casas, ou para outras pessoas, colocam essa informação em sites de partilha, usam serviços cloud “manhosos”, e não colocam qualquer tipo de cifra, protecção ou usam qualquer sistema de segurança que envolta o envio e recepção desses dados. Fazem cópias que depois de serem usadas pela pessoas a quem queriam enviar, deixam online, desprotegida. Isso pode servir a muita gente, dependendo de quem tenha acesso a essa informação.
Mesmo quando os transporta consigo, numa penUSB por exemplo, recorra a técnicas de cifra para garantir a confidencialidade da informação.
Erro 3 – Não seja ingénuo, não ganhou a lotaria via Web
Muitos administradores, funcionários e pessoal dos serviços, não podem ver um balão com “Parabéns, vocês é o novo milionário”, clicam logo. Acha que alguém lhe vai dar alguma coisa por ser o visitante 1 milhão?
E tenha cuidado com o que recebe no email, o comprovativo de transferência de dinheiro para a sua conta, não precisa de links e provavelmente é de uma pessoa que desconhece e de um banco que nem é do seu país, porque razão vai clicar no link? Apague de imediato.
Erro 2 – Não deixe as cópias de segurança para amanhã
É claro que levam tempo, se não estiverem automatizadas. Custam dinheiro, mas salvam dados, dados esses que podem custar a vida de uma empresa (muita das vezes dados únicos). Não deixe de colocar essa informação num suporte informático seguro (há por exemplo empresas que guardam a informação em cofres de bancos). Faças-as incrementais e totais, todos os dias.
É provavelmente o que mais se ouve, desde sempre, mas na verdade é ainda um dos maiores erros que as empresas cometem.
Erro 1 – Não use o nome do cão como palavra-passe
As palavras-passe são para o proteger, são para dificultar o acesso a quem quer ter, de forma indevida, a oportunidade de ver o que não deve, de saber o que não tem direito a saber. Quando lhe pedem para criar uma palavra-passe para o netbanco, seja criativo. Quando lhe pedem uma palavra-passe para um serviço que carece de confidencialidade… a sua data de nascimento, casamento ou o nome do boby… não serve. Em três tempos são descobertas essas palavras-passe. Misture números com letras e símbolos (ex. M@r73!0s)
Todos estes erros são cometidos diariamente por grandes administradores. São aspectos que não são relevantes e que alguém, que vive do cybercrime, está permanentemente à espreita.
Uma empresa, cada vez mais, vive do segredo que incute no seu negócio, tal é a falta de elasticidade do mercado e quem não protege uma boa ideia, acaba por ver o seu trabalho, nas mãos de quem… ouviu demais!!! Aprenda aqui a criar uma palavra-passe forte.
Proteja-se, siga regras simples com resultados garantidos.