Por que seus programas de conscientização em segurança falham

Todos os anos, as empresas investem na segurança da informação, ainda que, como na maioria das empresas do Brasil, seja uma pequena quantia. Entretanto, quanto desse orçamento é aplicado em programas de conscientização, para que os dados sejam devidamente protegidos e falhas e violações não ocorram com a frequência que vemos atualmente?

Confira quatro motivos pelos quais seus programas de conscientização não têm surtido o efeito necessário:

A má governança

Ocorre quando a empresa apenas diz às pessoas o que não fazer, mas não realiza a promoção de comportamentos definidos na alta direção da companhia. É preciso estabelecê-los em procedimentos formais e orientações por toda hierarquia, de cima para baixo, com, por exemplo, um risk assessment.

Baseando-se no medo

Em oposição à promoção positiva de procedimentos e orientações, muitos esforços de sensibilização são focados em assustar os colaboradores, a fim de que estejam atentos ao tipo de e-mail que abrem, às informações acessam ou compartilham. Isso acaba atrapalhando a produtividade, pois o e-mail é uma ferramenta crítica para o negócio. Se os funcionários tiverem medo de executar uma função, nunca ficarão confiantes para realizá-la de forma segura.

Mentalidade de hackers

Parecido com o item acima, esse tópico demonstra que muitos programas de conscientização dependem de dizer às pessoas como um hacker age e, em seguida, dizer a elas como o evitar. Por exemplo, dizem como um hacker pediu uma senha pelo telefone e, em seguida, explicam que esta é a razão pela qual não se deve conceder esse tipo de informação. Na verdade, o importante é promover comportamentos ditados pela governança primeiramente, para só depois aplicar informações de ordem técnica.

Não considerar sucessos

Avaliar os prejuízos causados por falhas na segurança promovidas por funcionários é importante, mas também considere a quantidade de spams e outros e-mails suspeitos não são abertos.

Cada vez que um usuário tem uma atitude apropriada, isto é um sucesso. Como qualquer outra medida preventiva, a conscientização não é perfeita. No entanto, ao contrário de muitas ferramentas técnicas, em geral não há registros criados para ataques bloqueados, certo?

Tratar a conscientização como uma atividade ocasional

Ao considerar que programas de conscientização de segurança devem ocorrer somente quando há falhas constatadas, a empresa coloca-se novamente em risco. A cultura de segurança da informação de uma empresa muda a partir de exemplos a serem seguidos diariamente. Mais do que uma campanha no ar, é vital que a empresa trabalhe esse tema em todas as ocasiões, desde a postura da diretoria até a comunicação interna.

O risk assessment é o início da construção de uma estratégia de segurança efetiva e também pode colaborar significativamente para o programa de conscientização da sua empresa. Baixe o whitepaper da PROOF Saiba como implementar um risk assessment efetivo e obtenha a base perfeita para a criação de um bom plano de segurança da informação.

Ataques de ransomware criam dilema para as empresas

Os ataques de ransomware, nos quais criminosos criptografam dados no computador de uma vítima e então pedem um resgate para devolvê-los, cresceram dramaticamente nos últimos meses e criaram um grande dilema para as empresas sobre qual é a melhor maneira de responder ao problema.

Não existe um consenso quanto à melhor forma de responder a esse tipo de ataque. Em 2015, só nos Estados Unidos, as vítimas do ransomware pagaram um total de US$ 24 milhões em cerca de 2.453 incidentes reportados, de acordo com um relatório divulgado pelo FBI.

Na América Latina, o Brasil é o principal alvo da ameaça. Segundo um estudo realizado pela Kaspersky Lab em conjunto com a B2B International, apenas 34% das empresas brasileiras reconhecem a ameaça.

Para alguns, o sucesso do ransomware depende apenas da extração do dinheiro, logo, o melhor seria que as vítimas não pagassem o resgate. Outros, por outro lado, defendem a ideia de que o pagamento é a única maneira de as empresas se recuperarem do ataque. Confira os argumentos de cada lado:

É melhor pagar o resgate…

No último ano, o FBI iniciou uma polêmica ao dizer que, às vezes, pagar o resgate era a melhor maneira de ter os dados de volta. A polícia americana não foi a única a expressar essa opinião. Uma série de especialistas defende a ideia de que não vale a pena a batalha e que o melhor é pagar o resgate e se proteger em vez de arriscar perder os dados.

A maioria dos pesquisadores concorda que os dados criptografados por um ransomware são quase impossíveis de serem recuperados sem as chaves para descriptografar os arquivos. Além disso, os criminosos geralmente dão um curto período de tempo para pagar o resgate. Depois disso, o valor triplica.

Os valores cobrados pelos cibercriminosos geralmente refletem o que as vítimas podem pagar. Para indivíduos, as quantias geralmente variam de US$ 21 A US$ 700, enquanto para as empresas ficam por volta de US$ 10 mil. Por isso, a menos que a empresa tenha uma cópia atualizada de todos os dados criptografados, pagar o valor pedido é bem mais fácil.

O dinheiro só incentiva o crime

Por outro lado, alguns especialistas em segurança da informação defendem que a melhor maneira de desestimular os ataques de ransomware é acabando com sua rentabilidade. Para esse grupo, os pagamentos encorajam esse comportamento e abre a empresa para outros ataques – os mesmos cibercriminosos podem criptografar seus dados novamente algumas semanas depois.

A melhor opção para reduzir a exposição à ameaça é manter bons processos de backup. É preciso testar continuamente seus backups para garantir que sejam viáveis e que o processo funcione, assim, os custos para restaurar os dados serão reduzidos a valores bem menores que o do resgate pedido.

Saiba mais sobre o ransomware, no whitepaper da PROOF Ransomware: a ameaça de 2016 e descubra se sua empresa está vulnerável.

Com Dark Reading

A redescoberta da segurança no endpoint

A segurança no endpoint está passando por um renascimento com uma série de novos produtos e serviços que apostam em uma abordagem diferente, deixando de lado o foco em antivírus e firewalls e enfatizando táticas mais pragmáticas, focadas em detecção e resposta nos dispositivos dos usuários.

Grandes empresas reconhecidas pela qualidade de suas soluções “tradicionais” de segurança nos endpoints, porém, não estão ficando para trás. Gigantes como a Symantec logo devem apresentar suas próprias ofertas de proteção de endpoint adotando uma abordagem de detecção e resposta a incidentes. Outras organizações, como Cisco, RSA Security e Palo Alto Networks também têm se atualizado, principalmente, por meio de parcerias com startups promissoras especializadas na segurança de endpoints.

Endpoints ainda são um alvo importante

Os endpoints ainda são umas das principais escolhas dos hackers para invadir redes corporativas. As ferramentas de detecção e resposta a incidentes levam vantagem por conseguir captar e armazenar informações e usá-las para responder e mitigar incidentes futuros. Elas trabalham detectando bugs não corrigidos e eventos suspeitos no endpoint, para isolar, investigar e remediar a situação. Depois, compartilham a inteligência do ataque com o resto da rede, caso o evento tenha sido bem sucedido em contornar o sistema.

Assim, além de detectar o que os antivírus tradicionalmente deixam passar, essas novas soluções de segurança também servem de fonte para investigações forenses caso uma violação de segurança ocorra.

Ferramentas “tradicionais” ainda são predominantes

Esse novo tipo de segurança nos endpoints, no entanto, não significa a morte dos antivírus. Dados do Gartner mostram que o mercado de antivírus tradicional ainda tem receita bastante superior à do mercado de segurança de endpoints baseado em detecção e resposta. Enquanto o primeiro tem receita de US$ 3,5 bilhões e está presente em mais de 400 milhões de pontos, o segundo tem receita de US$ 130 milhões e está presente em cerca de 5 mil empresas – cerca de 250 mil endpoints.

Os antivírus ainda existem na maioria dos desktops Windows ao redor do mundo e devem permanecer uma parte importante da segurança para bloquear ameaças de malware do “dia a dia”, que nunca vão deixar de existir. Esse tipo de software também deverá ser mantido por algumas empresas por razões de compliance e outras exigências.

O mercado de segurança de endpoints baseado em detecção e resposta a incidentes, porém, deve crescer. O Gartner prevê que, em 2018, é possível que 80% das atuais plataformas de proteção de endpoint incluam recursos relacionados ao monitoramento de atividades de usuários e capacidades forenses – em 2013, apenas 5% traziam esses recursos.

Empresas que compram esse tipo de produto não o fazem com o objetivo de substituir sistemas tradicionais, mas para melhorar a atual segurança dos endpoints. Soluções de detecção e resposta a incidentes para endpoints suplementam tecnologias tradicionais baseadas em assinaturas oferecendo uma maior detecção de anomalias e maior visibilidade ao longo de todos os endpoints.