Os 7 Pecados Capitais da TI (Parte 4)
Já discorremos sobre Negligência Móvel, Mac (In)Seguro e Rede WiFi Insegura, os três primeiros pecados capitais em TI, vamos agora ao 4º e 5º, ambos tratando sobre criptografia.
4 – E-mail sem Criptografia
Aqui está outro pecado comum de TI e praticado em larga escala, é uma bomba armada aguardando apenas pela detonação, infelizmente a maioria das organizações sabem que precisam fazer algo sobre isso porém deliberadamente procrastinam, simplesmente pela dificuldade em se resolver de maneira eficiente.
Atualmente, estamos no meio de uma onda de espionagem, qualquer pessoa com vontade de espionar o que um usuário está fazendo, pode utilizar um sniffer ou analisador de pacotes para ler e-mails enviados e recebidos sem criptografia. Além disso, provedores e serviços de e-mail como Google®, Microsoft® e Yahoo® admitem o escaneamento dos e-mails de seus usuários, seja para fins de segurança pública ou simplesmente publicidade.
A imagem abaixo mostra um sniffer gratuito disponível para qualquer um instalar em seu laptop, é fácil de encontrar na internet e permite visualizar todo o tráfego de e-mail trocado através da rede. É a mesma técnica já mencionada nesse post, chamada de man-in-the-middle.
Não pensando na ação de um hacker, imagine quantas pessoas acidentalmente enviam uma mensagem de e-mail não criptografada para a pessoa errada? E se esse e-mail continha dados confidenciais? Assim, a perda de dados pode até acontecer por engano.
Como se proteger
A tecnologia evoluiu e já é possível pequenas empresas acessarem ferramentas de criptografia e DLP (leia o nosso post sobre O Que é DLP) de e-mail, libertando-se deste pecado comum. O que é interessante levar em consideração ao implementar segurança de e-mail:
- Implementar uma política de proteção com criptografia das mensagens, de um jeito descomplicado e transparente para os usuários, sem a dependência de certificados por exemplo.
- Educar os usuários sobre por que é importante e não deve ser enviado via e-mail.
- Utilizar uma solução integrada com o servidor de e-mail da empresa, detectando dados sensíveis antes de saírem dos domínios da empresa sem depender da ação de um usuário.
5 – Arquivos sem criptografia
Em média, 01 em cada 10 notebooks serão roubados antes da sua vida útil acabar, em outras palavras, isso acontece o tempo todo. O curioso é que normalmente são equipamentos que estavam ao cuidado de funcionários e roubados de seus carros, num aeroporto, ou infelizmente descartados para reciclagem. Sim, a Coca-Cola recentemente enviou 05 laptops para serem destruídos sem antes limpar arquivos e informações ou criptografar unidades de armazenamento, no final alguém se aproveitou isso. É difícil de imaginar, mas acontece todos os dias.
É certo que nem todo equipamento extraviado se transforma em um desastre de perda de dados, porém pense em seu notebook, há dados importantes guardados nele? O que aconteceria se você o perdesse? Existem dois tipos de dados que precisam de preocupação.
O primeiro são dados pessoais, trata-se de qualquer informação que permita identificar um indivíduo, isso inclui registros de pessoal (RH), banco de dados de clientes ou arquivos de pacientes. Existem regulamentos muito importantes na maioria dos países que exigem das organizações o armazenamento dessas informações em local seguro, impondo pesadas multas em caso de violação e até divulgação pública das empresas que tiverem dados comprometidos, provocando danos irreparáveis à sua reputação.
O segundo são dados são dados corporativos, é o tipo de informação valiosa para a empresa e que não pode cair em mãos erradas. Podem ser registros financeiros, informações de P&D, dados secretos sobre produtos, propriedade intelectual e oportunidades de negócios futuros.
A solução é fácil de ser implementada, chama-se criptografia de disco completo. No Windows é chamado bitlocker, e no Mac filevault.
Observando além de notebooks, existem outros locais que armazenam dados confidenciais, como servidores de e-mail, bancos de dados em servidores, nuvem e smarpthones. Falamos anteriormente sobre o pecado relacionado ao e-mail não criptografado, é importante cobrir isso e adotar uma solução de criptografia que também permita manter arquivos confidenciais criptografados não importa onde eles estejam armazenados, em servidores locais de arquivos e sistemas, servidores em nuvem e até mesmo dispositivos móveis.
Na sequência o foco é o Firewall, é interessante enxergar quão inseguro pode ser um firewall básico, clique aqui.
Atualizado em 17/03/2017 às 08:09.