Cibersegurança deve ser prioridade para pequenas e médias empresas

O fator-chave na maioria dos problemas de cibersegurança frequentemente se perde nas conversas sobre hardware, software, phishing e outros recursos tecnológicos.

“A maioria dos problemas de cibersegurança ocorrem não por causa de falhas dos sistemas, mas por causa dos funcionários exporem os sistemas de suas empresas a pessoas mal intencionadas’, segundo Tom Bowles, CEO da Alltek, uma empresa de Lakeland que fornece serviços de TI para pequenas e médias empresas. Somando ao problema de segurança, há “funcionários mal-intencionados” que deliberadamente comprometem os computadores do local de trabalho.

“Nós fizemos praticamente tudo o que podemos fazer no lado técnico”, acrescentou. “Agora abordamos o elemento humano de maneira mais pró-ativa”.

Kanwal Gagneja, professor assistente de ciência da computação na Florida Polytechnic e especialista em segurança cibernética, concordou que os funcionários são o fator involuntário ou deliberado por trás da maioria das ameaças no local de trabalho.

“O erro humano é o maior caminho para qualquer ataque”, disse ela. “Eu diria 80 a 85% do tempo, se um ataque for bem-sucedido, é por causa de erro humano.”

E os hackers estão ocupados, disse Gagneja. Um estudo recente mostrou que há 800 mil ataques de computador em todo o mundo, todos os dias.

Ainda assim, Gagneja disse: “Eu diria que de 10 à 12% facilmente” foram bem sucedidos.

A maneira mais comum pela qual os funcionários inconscientemente deixam um invasor entrar é através de phishing, Bowles e Gagneja concordaram. Uma variante, spear phishing, atinge os principais executivos, como o diretor financeiro.

Em uma tentativa de phishing, o invasor envia um email para um funcionário que afirma ser de uma fonte legítima. Pode fingir vir de outra empresa, como um banco ou outra instituição financeira, ou um amigo pessoal, muitas vezes usando e-mails obtidos em hacks anteriores.

O e-mail procura que o destinatário responda com informações, como números de contas bancárias ou senhas. Mais comumente, induzirá o funcionário a clicar em um link para outro site para cuidar de um problema ou obter mais informações.

Quando o funcionário clica no link, ele abre um site que parece ser uma organização ou pessoa legítima. Na verdade, o site fornece ao atacante um ponto de entrada na rede de computadores dessa empresa.

Mas os funcionários podem ser treinados para reconhecer ataques de phishing, disseram Bowles e Gagneja.

Christine Thomas é vice-presidente de administração da Comanco, uma empresa de construção Plant City e cliente da Alltek.

“Você precisa ter o software e o hardware adequados, mas os funcionários são sua primeira linha de defesa”, disse Thomas sobre a política de segurança cibernética da Comanco.

Isso é particularmente importante para muitos dos 275 funcionários da Comanco, que passam a maior parte do tempo fora do escritório e acessam sua rede de computadores remotamente, acrescentou ela.

Os ataques através de dispositivos pessoais de um funcionário, como telefones celulares ou tablets, também representam um problema crescente de segurança cibernética, disse Gagneja. Eles oferecem um ponto de entrada para invasores quando os funcionários se conectam ao sistema de computador do local de trabalho.

Outro estudo recente mostra que 80% dos funcionários dos EUA estão sempre conectados a um dispositivo digital no local de trabalho, disse ela.

Os funcionários podem ser cúmplices involuntários de um invasor por causa de uma prática crescente chamada “esteganografia”, a prática de ocultar um arquivo ou outra informação incorporada em uma imagem, vídeo ou outra imagem digital, disse ela.

Os atacantes geralmente usam as mídias sociais como forma de espalhar imagens esteganográficas, disse Gagneja.

A maioria das pessoas não sabe quando seus dados pessoais e de trabalho — contas de negócios e redes sociais, senhas e outras informações pessoais de perto — aparecem na teia escura, disse ele.

Até mesmo alertar uma empresa sobre as contas de mídia social de um funcionário na web escura é útil, disse Hamid, porque “muito provavelmente, são as mesmas senhas de seu material de trabalho”.

A teia escura “é provavelmente maior agora do que a maioria das pessoas imagina”, disse Bowles.

Thomas, que supervisiona a TI na Comanco, disse que sua empresa mudou para a empresa Lakeland no ano passado depois de ficar insatisfeita com seu fornecedor anterior de serviços de TI, devido aos tempos de resposta lentos e à eventual falta de respostas.

Fonte https://www.theledger.com/news/20190204/cybersecurity-growing-concern-for-small-business