quarta-feira, 21 de janeiro de 2009

8 erros comuns

http://www.idgnow.com.br
Segurança > Privacidade
Conheça os 8 erros de segurança que os usuários mais cometem nas empresas
(http://idgnow.uol.com.br/seguranca/2009/01/16/conheca-os-8-erros-de-seguranca-que-os-usuarios-mais-cometem-nas-empresas)
Por Lygia de Luca, repórter do IDG Now!
Publicada em 19 de janeiro de 2009 às 07h00
Atualizada em 19 de janeiro de 2009 às 10h45

São Paulo - Falta de treinamento faz com que usuários comprometam dados sigilosos e abram a porta para a entrada de malwares. Saiba mais.

erros_seguranca_88.jpgEm empresas, usuários corporativos também são usuários finais e, justamente por isso, podem comprometer a segurança do ambiente profissional, já que nem sempre sabem que põem a empresa em risco com algumas ações.

De acordo com o gerente de engenharia de sistemas da Symantec, Paulo Vendramini, é possível dizer que “alguém querendo se dar bem com um dado sigiloso corresponde a apenas 5% dos problemas". "O restante, é falta de treinamento”, explica.

Leia também:
> Segurança: como controlar os funcionários?

Conheça os 8 erros de segurança mais comuns cometidos pelos funcionários nas empresas.

Acessar Wi-Fi público
Muitos funcionários não sabem que, quando ingenuamente conectam seus notebooks ou smartphones a uma rede aberta, todos os seus dados transitam sem proteção.

“Ali, não há criptografia ou proteção. Eu poderia até usar uma ferramenta para ficar ‘escutando a rede’”, afirma o gerente de segurança da Trend Micro, Eduardo Godinho. “Ou seja, se você acessou seu e-mail, o nome de usuário e senha trafegarão livremente na rede do aeroporto, por exemplo”.

A solução, caso o funcionário precise trabalhar nestes momentos, acessando Wi-Fi público, seria a empresa fornecer uma espécie de chave de segurança para o equipamento, segundo o gerente da Trend Micro.

Salvar dados online ou em mídias removíveis
Se a pessoa não tem um notebook da empresa, ela pode salvar arquivos no pen drive, CDs ou em aplicativos online.

“Ela não sabe se pode ou não fazer isso, e a máquina onde a mídia for usada pode estar contaminada ou o dado ser roubado”, expõe Godinho.

Além de colocar em risco as informações confidenciais da empresa, os funcionários podem contaminar o PC corporativo um código malicioso adquirido na máquina impropriamente utilizada.

Encaminhar arquivos para e-mail pessoal
Mesmo sem a intenção de burlar políticas de segurança, o usuário muitas vezes quer aproveitar um dado para usar depois, e daí o erro. “Ali, geralmente ele sai de uma estrutura segura criada, como uma Virtual Private Network (VPN)”, aponta Vendramini.

Clicar em links maliciosos
Caso a empresa não imponha limites de navegação aos seus funcionários, é comum a prática dos mesmos saírem clicando por aí, sem avaliar a procedência dos links.

“Alguns usuários dizem que, se recebem algo que desperte dúvida sobre ser malicioso ou não, eles preferem clicar na empresa, pois alegam que ali é mais seguro porque há antivírus e firewall instalados”, diz Godinho.

Segundo o gerente regional da Kaspersky Labs no Brasil, Eljo Aragão, um relatório do FBI aponta que “40% das empresas entrevistadas investem menos de 1% do budget voltado à segurança da informação na educação dos usuários”.

Por isso, “é preciso de fato definir o que pode ou não, incluindo regras para uso de e-mail, e mostrar por que há um monitoramento ou bloqueio”, aponta Aragão.

Navegação pessoal demais
A maioria dos funcionários não vê problemas em pagar uma conta pelo bankline ou acessar alguns sites, como redes sociais e lojas virtuais, durante o expediente.

Godinho cita o exemplo de uma usuária que costumava acessar com frequência um site de cosméticos, e que um spyware instalado em sua máquina detectou este hábito.

“O cracker criou um phishing especial, dizendo que ela ganharia alguns cosméticos por ser cliente preferencial, e pediu seus dados para cadastro”, conta.

O golpe é típico, mas afetou a empresa porque ela tinha acesso a sua conta bancária, informações que foram roubadas junto aos seus dados pessoais.

Cuidar mal de senhas
Aragão conta que os usuários não percebem, muitas vezes, que nas empresas cada funcionário ganha sua própria senha no sistema para mantê-la em segredo.

“Se eles compartilham, pode haver o acesso a dados que não são da competência do outro”, exemplifica o executivo da Kaspersky.

Vendramini lembra também que é preciso configurar a ativação de senhas para o bloqueio veloz de aparelhos móveis, como smartphones. “Afinal, o dispositivo não precisa ser necessariamente roubado, mas pode ter sido deixado em cima da mesa ao ir para o banheiro, e um e-mail com dados importantes ser encaminhado sem autorização”, exemplifica.

Usar PCs desconhecidos
Ao manipular dados sigilosos, é preciso ficar atento com o meio de acesso. Abrir um e-mail com informações da empresa em um PC de Lan House, por exemplo, é definitivamente má ideia, segundo Vendramini.

“Evite os computadores públicos, use a máquina da empresa ou o PC de casa, nos quais você conhece o nível de segurança”, resume.

Aragão lembra que a empresa deve incentivar que o computador do usuário seja seguro. “Para a máquina de casa, o que as empresas podem fazer é adquirir licenças para o uso doméstico, que não é exatamente o mesmo software de segurança da rede dela.”

Burlar o bloqueio de aplicativos
Hoje é comum que os usuários ignorem as ordens da empresa relacionadas aos limites de acesso - como bloquear redes sociais e comunicadores instantâneos.

“Com ferramentas de web proxy, você acessa o que quer usando um servidor de proxy, que não é o da empresa”, explica Godinho.

O bloqueio de sites não é feito à toa pelas empresas. Em recados deixados no Orkut, por exemplo, são distribuídos vários malwares, em golpes simples que pedem para o usuário 'clicar para ver fotos' - e é aí que acontece a contaminação do PC do funcionário.
Copyright 2009 Now!Digital Business Ltda. Todos os direitos reservados.
Reações:

0 comentários: