Um carrinho de hot dog está parado em frente à empresa que você trabalha. “Todos podem comer de graça, basta colocar o seu login e senha no site da empresa nesse computador aqui”, diz o vendedor que afirma ter um convênio com a companhia. Você colocaria seus dados em troca de comida?
Se a resposta for sim, saiba que sua empresa estará hackeada no dia seguinte. O “site da empresa” no computador do vendedor na verdade era uma cópia perfeita feita para não duvidarem da sua origem, conseguir de forma fácil os dados dos colaboradores e entrar no sistema da companhia. Segundo Kleber Souza, Gerente de Segurança de TI da Compugraf, isso aconteceu com uma empresa norte-americana e com esse alerta, o Startupi dá início a série de matérias sobre Cibersegurança.
Em 2021, de 200 empresas entrevistadas pela Sophos, empresa global em cibersegurança, 110 (55%) foram atingidas por algum ransomware – malware injetado em uma rede para infectar e criptografar dados confidenciais até que o valor do resgate seja pago. O número representou um aumento considerável em relação aos 38% que reportaram ataques no ano anterior.
Nesse cenário, um dos principais pontos que facilitam a ocorrência de crimes cibernéticos é o despreparo de funcionários, que muitas vezes não são treinados para proteger suas credenciais. “Os colaboradores tendem a ser o elo mais fraco nesse quesito pelo acesso que possuem aos dados. O hacker prefere convencê-los a fornecer informações do que tentar ‘quebrar’ os controles de proteções tecnológicas”, explica Willian Caprino, especialista em cibersegurança da Blaze Information Security.
Basta investir em software e hardware de segurança?
Segundo a 3º Pesquisa Tempest de cibersegurança, 51% das organizações mapeadas mencionam a cibersegurança em estratégias. Embora o orçamento ainda seja limitado, as empresas estão investindo mais no setor, tanto terceirizando o serviço, como construindo times robustos, porque percebem que as consequências, financeiras e até jurídicas, são maiores se forem hackeadas.
O receio da falha no sistema é tão grande que as companhias contratam consultorias para fazerem testes de vulnerabilidade em seus sistemas. São verificações que identificam falhas no servidor, avaliam a segurança, acessos a dados para usuários não autorizados e a possibilidade de serem hackeadas. É indicado que após grandes mudanças no setor de TI, como atualizações de software, as empresas chamem um hacker ético para apontar possíveis lacunas.
“Ok, as empresas estão protegidas de ataques externos, mas e se alguém do time é atingido? O atacante tem um ponto interno para começar a agir e normalmente é mais grave, por ter acesso direto à rede da empresa”, reforça Kleber Souza.
Grande parte dos golpes aplicados em funcionários estão na categoria de “engenharia social”, que seria a arte de explorar ou manipular a psicologia humana para obter acesso a dados, sistemas ou lugares. Dentro desse segmento, existe o phishing, técnica que utiliza comunicações falsas que aparentam vir de uma fonte confiável.
Um exemplo: colaboradores recebem e-mail da área de Recursos Humanos dizendo que todos ganharam um cupom para comer em um determinado restaurante, mas é necessário clicar no link para ter acesso ao benefício. Todos que clicaram deram oportunidade para o hacker entrar no sistema da empresa, ou roubar dados do seu computador, uma vez que o RH não havia enviado esse comunicado.
Como ampliar a segurança?
Pensando na importância da conscientização de profissionais dentro das empresas, que não atuam diretamente com cibersegurança, mas também são alvos de cibercrimes, organizações têm desenvolvido soluções para o compartilhamento de informações.
É o caso da Compugraf, provedora de soluções de segurança da informação, que desenvolveu o Programa de Conscientização completo para as empresas. Através de um processo gamificado e interativo, os colaboradores são relembrados sobre a importância de não clicar em links duvidosos, manter suas senhas protegidas, não passar informações por telefone, entre outros fatores que tendem a ser esquecidos no dia a dia, mas fazem a diferença para evitar incidentes cibernéticos.
“Dinheiro e tecnologia nenhuma vão garantir a segurança total da empresa, ainda mais sendo que o elo mais fraco são pessoas. Hoje, as pessoas ainda deixam suas senhas espalhadas, não se preocupam em criar senhas diferentes ou difíceis, então é fundamental criar programas de conscientização dentro das empresas”, explica Marco Cardoso, Gerente Sênior de TI da Theraskin Indústria Farmacêutica, que desenvolveu dentro da companhia o Tech Training Theraskin – workshops sobre tecnologia – sendo dois deles recentes sobre cibersegurança.
Cardoso entende que todos nós estamos expostos. Passamos nosso CPF quando queremos desconto na farmácia, a placa do nosso carro aparece em fotos nossas ou do Google Maps, postamos nossas vidas nas redes sociais, entre outras exposições, mas é preciso buscar com frequência estratégias para reduzir ao máximo os riscos de cibercrimes e atenção especial a engenharia social.
Além dos workshops, a Theraskin costuma fazer testes de phishing para ver se seus colaboradores estão atentos. O exemplo citado na matéria sobre o e-mail do RH de um voucher de restaurante foi implementado pela empresa. “Quem acabou clicando no link recebeu a notificação e treinamento de que não podemos clicar em nada suspeito. Se tiverem dúvidas, os colaboradores podem e devem entrar em contato com o RH ou até mesmo com nosso time de TI, olhar no site da empresa para ver se divulgamos algo sobre a novidade. Em face de turnover precisamos reforçar o assunto constantemente”, finaliza Marco.
