Os utilizadores estão a tornar-se no “novo perímetro”. O NTT 2015 Global Threat Intelligence Report mostra que sete em cada 10 vulnerabilidades estão relacionadas com o utilizador final – particularmente com aqueles que têm acesso aos principais sistemas e dados da empresa – através de equipamentos que muitas vezes não são geridos de forma abrangente pela organização.
Verificamos um aumento no número de utilizadores finais que se estão a tornar alvos. E isso deve-se ao facto de haver múltiplos vetores de ataque disponíveis que podem ser usados para chegar a eles. Hoje, as organizações não têm de se preocupar apenas com end points tradicionais. O alcance das ciber-ameaças pode se estendido a equipamentos móveis e plataformas sociais.
…referiu Jason Harris, Managing Principal Consultant da Dimension Data.
Os cibercriminosos sabem que ao chegarem aos utilizadores, têm uma real hipótese de os convencerem a fazer algo que lhes confere acesso aos dados ou perfis dos utilizadores e que lhes permite em última instância controlar os seus dispositivos. “Esta tendência é preocupante. É verificada a existência de falhas importantes nas pessoas, nos processos e nas políticas, particularmente no que respeita a iniciativas BYOD e de utilizador final. A maioria das empresas tem algum tipo de governance e controlo implementados, mas hoje as precauções standard não são suficientes para proteger as organizações do mais recente género de ameaças.
O mesmo responsável sublinha ainda que é na resposta aos incidentes que se encontram as mais significativas falhas nas defesas das organizações. Hoje, 74% das empresas não contam com qualquer plano formal de resposta a incidentes.
É difícil mitigar o impacto de um equipamento de um utilizador final se este estiver comprometido e não há nenhum processo de resposta a incidentes que detecte essa falha e que coloque imediatamente em prática medidas para garantir a segurança da informação.
Harris refere que os cibercriminosos sabem que ao chegarem aos utilizadores, têm uma real hipótese de os convencerem a fazer algo que lhes confere acesso aos dados ou perfis dos utilizadores e que lhes permite em última instância controlar os seus dispositivos. “Esta tendência é preocupante. Verificamos a existência de falhas importantes nas pessoas, nos processos e nas políticas, particularmente no que respeita a iniciativas BYOD e de utilizador final. A maioria das empresas tem algum tipo de governance e controlo implementados, mas hoje as precauções standard não são suficientes para proteger as organizações do mais recente género de ameaças”.
O mesmo responsável sublinha ainda que é na resposta aos incidentes que se encontram as mais significativas falhas nas defesas das organizações. Hoje, 74% das empresas não contam com qualquer plano formal de resposta a incidentes. “É difícil mitigar o impacto de um equipamento de um utilizador final se este estiver comprometido e não há nenhum processo de resposta a incidentes que detete essa falha e que coloque imediatamente em prática medidas para garantir a segurança da informação”.
Jaco Hattingh, Group General Manager da Dimension Data, Enterprise Mobility explica que muitas empresas estão a reexaminar as suas estratégias de Bring Your Own Device de forma a proteger os seus negócios de ciberataques que têm como alvo os utilizadores finais. “No entanto, não vemos a redução de iniciativas BYOD, mas verificamos a existência de um caminho em direção à estandardização de equipamentos, já que esta simplifica o suporte ao utilizador final e assegura que os seus dispositivos contam com os patches mais apropriados, um fator essencial para mitigar as ameaças”, conclui.
Nuances regionais
A maturidade da cibersegurança varia entre as várias regiões, e que existem algumas interessantes nuances culturais que a influenciam:
Na Austrália, Nova Zelândia, EUA e no Reino Unido, as organizações apresentam uma abordagem focada na gestão de frota, que inclui a gestão de PCs, tablets e outros equipamentos móveis.
Uma abordagem que tem vindo a ganhar popularidade nos EUA é a política de Choose Your Own Device. É facultada aos utilizadores uma lista a partir da qual podem selecionar o seu equipamento preferido. A empresa gere o dispositivo, mas dá aos utilizadores um certo nível de flexibilidade, permitindo por exemplo que eles tenham aplicações pessoais.
Na Ásia, todavia, a natureza de consumo de TI está a acelerar. As empresas estão a evoluir em direção a uma estratégia que coloca a mobilidade em primeiro lugar e estão a introduzir equipamentos móveis mas rapidamente que os dispositivos geridos na frota. Significa isto que a superfície de ataque para alvos mais fáceis – os utilizadores – é maior. Além disso, na Ásia, as estratégias de BYOD estão a tornar-se no que é tido como uma estratégia COPE – ‘corporate-owned, personally-enabled.
Burden, Hattingh e Harris compilaram algumas políticas chave de simples implementação mas eficientes o suficiente para responder às ameaças de segurança e que permitem assinalar as violações;
Torne as políticas numa prioridade
O objetivo destas políticas é governar ou implementar alguns comportamentos específicos numa organização. Neste caso, implementar comportamentos dos colaboradores, alinhados com os objetivos gerais da empresa. Ao mesmo tempo, disseminar comportamentos que sejam sensíveis ao mais valioso bem da empresa – a informação. As organizações são muito diferentes e as políticas devem ser criadas tendo em atenção a natureza específica de cada uma, os seus modelos de negócio e as nuances culturais associadas à sua base de trabalhadores móveis.
Resposta a incidentes
As organizações precisam de desenvolver uma abordagem de segurança baseada em dados, que inclui controlos e monitorização mais avançados. Com esta abordagem, mesmo que os utilizadores tenham autorização para aceder a determinados dados e sistemas em determinados equipamentos, as empresas podem certificar-se de que eles não fazem nada fora do normal, como súbitas transferências de 2 GB de conteúdo de uma base de dados para um dispositivo móvel conectado. Desta forma, as organizações podem ser proativas sobre a sinalização e a resposta a anomalias.
Educação e sensibilização dos utilizadores
A sensibilização e a educação são essenciais para minimizar o risco. É importante que as organizações encorajem os colaboradores a adotarem comportamentos de forma consistente, de acordo com processos e procedimentos comunicados com clareza, centralmente desenvolvidos e monitorizados, que se apliquem a todos os equipamentos que estejam a ser usados. Muito embora possam não evitar as tentativas de ataque, tornam a organização mais segura.
Neil Campbell, Group General Manager de Security da Dimension Data, diz que “as pessoas podem ser tanto o elo mais forte como o mais fraco na cadeia de segurança, e a diferença entre os dois tem como base a educação e a sensibilização. Este facto era verdade há 20 anos, quando trabalhei nas forças de segurança, investigando cibercrimes, e continua a ser verdade nos dias que correm”.
Comentários recentes