Por Paulo Tiroli, Especialista em Produtos de Segurança Digital Corporativa da Atech

 

As empresas brasileiras têm vivido em um cenário preocupante de segurança digital, principalmente se levarmos em consideração diversos casos recentes de grandes vazamentos de dados, incluindo informações pessoais e senhas de acesso de milhares de internautas e até empresas.

Um estudo divulgado este ano pela Associação Brasileira de Empresas de Tecnologia da Informação e Comunicações (Brasscom), realizado com executivos de segurança de 15 países, aponta que mais da metade dos entrevistados prioriza controles de perímetro. Sabemos que este é um passo importante para prevenir invasões externas, porém, o investimento em ações que priorizem o comportamento do usuário, como o uso de senhas seguras no combate a golpes de phishing e de engenharia social, por exemplo, pode ser um grande diferencial.

A proteção do perímetro, apesar de ser fundamental, não é suficiente para atender as recomendações de especialistas e pesquisadores de segurança digital em todo o mundo, como a troca constante de senhas – especialmente as senhas bancárias das redes sociais, de e-mails e de comércio eletrônico.

Uma pesquisa liderada pela Universidade de Plymouth, no Reino Unido, revelou que os usuários que recebem orientações básicas sobre a gestão de suas senhas são 40% mais suscetíveis a fazer escolhas seguras, melhorando consideravelmente sua segurança digital.

Quando falamos em segurança de dados para as empresas, exemplos recentes de ataques cibernéticos, inclusive envolvendo extorsões, têm mostrado que a segurança do usuário é fundamental para a segurança dos dados corporativos. Dados da última pesquisa Custos de Violação de Dados 2017, do Instituto Ponemon, confirmam isso: 31% dos ataques cibernéticos no último ano foram causados por falhas humanas, incluindo funcionários desatentos ou negligentes.

Uma única senha fraca pode ser a porta de entrada para um ataque hacker, comprometendo o desempenho dos negócios e gerando altos prejuízos financeiros, problemas de conformidade e danos à imagem das empresas. Segundo dados do Instituto Ponemon, um único ataque cibernético pode causar prejuízos médios de R$ 1,92 milhão.

“Fechando as lacunas” da barreira contra os ataques

Como não priorizam as senhas a estratégia de segurança digital, os usuários corporativos acabam colocando em prática uma série de hábitos ruins – tanto no âmbito pessoal quanto profissional – que colocam o negócio em risco.

Um desses hábitos é o uso de uma única senha em vários serviços, incluindo os serviços usados no ambiente corporativo, como acesso a sites de e-commerce, à nuvem da empresa e ao e-mail corporativo, por exemplo. Caso haja algum incidente em um serviço de e-commerce, por exemplo, o usuário pode até mudar a senha do serviço, porém, se usá-la para também para acessar algum serviço corporativo, o negócio já está vulnerável.

Ou seja, mesmo que o usuário siga todos os passos básicos para criar uma senha considerada “forte”, como uso de números, letras em caixa alta e baixa e caracteres especiais, se ele reusá-la, sua suposta força vai por água abaixo.

Diante deste cenário, o ideal é que as empresas comecem a investir cada vez mais na segurança das senhas, identificando padrões e comportamentos que possam colocar o negócio em risco, especialmente porque, na maioria dos casos, os hackers precisam de apenas uma senha para ter acesso a todas as informações sigilosas do negócio.

Ao fazer um diagnóstico inicial das senhas da empresa e de como seus usuários se comportam quando precisam fazer determinadas escolhas que podem colocar as informações em risco, os responsáveis pela estratégia de segurança digital contam com informações valiosas para aprimorar suas táticas de proteção e monitoramento e começar a promover uma mudança na cultura sobre a segurança digital.

Sem isso, as organizações vão continuar “alimentando” os hackers com redes vulneráveis, dando a eles a possibilidade de promover ataques cibernéticos com o mínimo de esforço.

E se engana quem acredita que apenas as práticas recomendadas por políticas de segurança sejam capazes de impedir os ataques. Diretrizes divulgadas pelo United States National Institute for Standards and Technology (NIST), por exemplo, argumentam que práticas como trocar senhas a cada três meses, inserir caracteres especiais ou criar senhas com letras e números aleatórios são ineficientes.

A mais recente recomendação do instituto envolve a substituição da troca periódica de senhas pela recomendação do uso de frases memorizadas, que englobariam expressões com pelo menos 64 caracteres, compostas de frases que os usuários poderiam memorizar facilmente, contendo espaços, palavras ou quaisquer outros caracteres.