Os profissionais em posição de liderança tendem a se mostrar desatentos para questões de segurança e convictos de estarem protegidos, o que representa um problema para a TI
Existe hoje uma grande preocupação por parte dos profissionais que cuidam da segurança da informação com o uso das redes sociais no ambiente corporativo e com os golpes online. Mas, de acordo com o
consultor de segurança e CIO da empresa Stratagem 1 Solutions, Jayson Street, os funcionários em geral não deveriam ser o
cerne da preocupação, mas, sim, as iniciativas precisam ter foco nos altos executivos da organização.
Street realiza estudos de penetração de golpes na internet e fornece
treinamento para corrigir “os bugs humanos”. E ele aponta que os executivos com
acesso a informações confidenciais representam os alvos prediletos dos criminosos online.
“Precisamos de executivos atentos aos perigos”, afirma o especialista, que completa: “Ao
saberem o que lhes pode acontecer, estarão aptos a evitar os riscos.”
Seguem os quatro motivos que incentivam os golpistas a mirar
nas caixas de entrada desses profissionais para aplicar os golpes.
1. Sentem-se acima das regras de segurança
Street afirma que, por serem as pessoas mais importantes dentro das empresas, os executivos têm atribuições que lhes tomam muito tempo. Isso dá a sensação de não
estarem sujeitos a seguir a cartilha de politicas de segurança.
“Eles acham que o firewall serve para os outros, e que os
bloqueios não devem ser aplicados em suas estações de trabalho”, explica. “Os
executivos não querem ter o tráfego de suas máquinas filtrado, rastreado ou
monitorado. Dessa maneira, saem da rota dos proxies, a única proteção com a
qual contavam.”
O fato é que esses executivos não são muito mais espertos
quando o assunto é segurança, quando comparados aos funcionários “rasos”. E,
pelo fato de serem executivos, o golpe é normalmente muito mais refinado e
pessoal, dando a impressão de ser alguma mensagem oriunda de um remetente
legítimo, apesar do anexo ser um arquivo danoso.
2. Acham que a TI dá conta de tudo
“Depois que um executivo executa o arquivo anexo e tem a máquina infectada, é certo que
vai se virar para o departamento de TI e indagar por que ninguém cuidou da segurança”, diz
Street.
Recentemente Street concluiu uma série de ensaios de
penetração a mando de dois hotéis, obteve acesso aos servidores e enviou
mensagens falsas fazendo-se passar pelo CEO da empresa responsável pelo suporte
técnico do hotel.
“Depois, perguntei por que motivo me haviam deixado entrar. A
resposta era que o dono do hotel fazia isso o tempo todo. Que o proprietário
passava e-mails desse tipo o tempo todo.”
A questão que se apresenta é: o executivo, nesse caso o
proprietário do hotel, não compreende que, ao agir dessa maneira (não tendo um
sistema que verifique o remetente de mensagens eletrônicas), expõe toda a
organização a um risco desnecessário, confiante de estar coberto pelo TI no
caso de lago dar errado.
3. Tecnologia de ponta resolve qualquer problema
“Os CIOs são um alvo querido por golpistas por usarem sempre recursos modernos
de segurança”, afirma Street.
++++
“Quem, dentro da empresa, vai ter permissão de usar o iPhone
mais recente ou poderá ter um iPad conectado à rede interna para receber e-mails?”,
Street pergunta. E responde: os altos executivos. “Eles compram notebooks com
sistemas não homologados, querem o laptop ultrafino e leve, capaz de executar
determinadas tarefas”, diz.
O problema é que esses dispositivos não passaram pelo crivo
do TI nem foram configurados para acessar a rede de maneira segura. Frequentemente
também têm a impressão de o departamento de TI já estar apto a lidar com as falhas
intrínsecas às novas tecnologias – é onde se enganam.
“Os executivos partem dos princípio de que “mais moderno” significa
“mais seguro”, um ledo engano. Mesmo assim, insistem em conectar-se à rede em
suas residências, e acabam confundindo os dois ambientes”, pontua Street.
4. A família ignora os riscos
“O golpista sempre irá procurar por uma
maneira mais fácil de chegar até o executivo. Como o departamento de TI pode estar atento às
mensagens da caixa de entrada do CIO, é mais fácil ir atrás da esposa e dos
filhos nas redes sociais, como o Facebook”, afirma Street. É comum o executivo
compartilhar seu computador com o resto da família.
“Por que não infectar o computador da esposa e esperar que o
executivo se conecte na mesma rede? O ambiente de rede doméstico é mais
confiável que o corporativo e o firewall certamente está configurado para
manter regras mais frouxas de bloqueio de tráfego. É a maneira mais prática de
chegar ao executivo ”, ressalta.
Segundo o analista, estar atento para o perigo desses golpes
é importante, inclusive, para os membros da família – alvos fáceis para as
ações criminosas. “Quando se trata de milhões de dólares e há a intenção de
roubar segredos corporativos, ou de espionar as ações de concorrentes, o mais
fácil é incluir todo mundo que está na rede de contatos do executivo-alvo”,
finaliza Street.
