Minha intenção aqui não é debater os fundamentos políticos ou as informações vazadas. Provavelmente você deve ter visto, há alguns dias, o vazamento de dados referente a alguns atletas olímpicos. É claro que existe uma série de coisas importantes em torno deste tema, mas quero falar de um aspecto que tem passado despercebido: como esses hackers entraram no sistema do Comitê Olímpico Internacional.
De acordo com o “The New York Times”, os hackers entraram no ambiente da Agência Mundial Antidoping para roubar os arquivos e o ataque começou com um… email! Um e-mail de phishing enviado para um dos usuários internos, com a engenharia social suficiente que o fez clicar no link ou no arquivo anexado, dando controle à máquina do usuário e permitindo que os criminosos roubassem suas credenciais e as utilizassem, de forma não-autorizada, para obter as informações. O resto da história vocês já sabem. Mas claramente esse episódio nos ensina algumas coisas.
Primeiro: usuários são o maior problema da segurança hoje. Você pode implementar o sistema mais seguro do mundo na sua empresa, mas se você não educar o seu usuário do fato de que uma simples ação dele pode comprometer todo o negócio, não há sistema que resolva o problema.
Outro aspecto fundamental: gerenciamento de permissões. Há quanto tempo seu gestor de Segurança não revisa a estrutura de permissionamento de usuários? Pesquisas realizadas por entidades importantes, como o Instituto Ponemon, revelam que as empresas por vezes deixam a desejar (e muito) nesse quesito. Imagine ter 40 mil links de usuários ativos – de ex-funcionários, etc. – e que ninguém utiliza. Isso é uma realidade comum, infelizmente, em muitas organizações. Mais do que isso, muitas dessas credenciais têm acesso a dados importantes da empresa – como dados financeiros de clientes, por exemplo. Esse descuido, tão simples, é capaz também de causar um problema de proporções enormes.
Um terceiro aspecto é a análise constante. Se a entidade contasse com alguma gestão de monitoramento e avaliação constante de incidentes de segurança, talvez tivesse detectado um comportamento fora do padrão daquele determinado usuário – muito provavelmente acessando informações dos atletas que não deveriam estar disponíveis a todos. Existem inúmeras tecnologias, hoje em dia, que fazem o rastreamento do comportamento do usuário de maneira bastante eficaz.
Observe que são pequenos descuidos, que acabam acontecendo no dia a dia de qualquer empresa, que proporcionaram o vazamento da informação. O descuido do usuário, que não tem consciência das táticas de engenharia social para roubar informações e do fato de que é sempre uma vítima potencial; o descuido da instituição ao não ter uma política de permissão clara e, por fim, o que não é exatamente um pequeno deslize, mas uma falta de visão na condução estratégica da segurança.
É preciso que CIOs, CSOs e gestores de Segurança da Informação comecem a olhar a segurança como uma questão que envolve mais a simples implementação de um software. É preciso pensar também em termos de engenharia social, em comportamento de usuário e, principalmente, trabalhar ativamente em processos para seja possível mitigar a única falha que nenhum software detecta, e que é largamente utilizada pelos hackers: a falha humana.
Carlos Rodrigues, vice-presidente Latam da Varonis.