O que aprendemos conversando com profissionais de segurança

Com o ano de 2016 chegando ao fim e a segurança da informação parecendo mais instável que nunca, achamos que seria uma boa hora para fazermos um balanço da sabedoria coletiva que absorvemos, este ano, de profissionais de segurança de diferentes áreas, como especialistas em testes de invasão, advogados, CDOs, defensores da privacidade, cientistas de computação e até um guru.

Continue acompanhando o post e veja o que aprendemos de mais importante.

A teoria de tudo

A internet das coisas é um bom lugar para começar esse post. É onde o público experimentou todos os problemas relacionados à privacidade e à segurança.

Tivemos a chance de conversar com o especialista em testes de invasão para internet das coisas Ken Munro este ano, e seus comentários sobre tudo, desde potes de café e campainhas wireless até câmeras, ressonaram em nós.

“Estamos dando um grande passo aqui, no qual assumimos que o fabricante em algum momento pensou em um ataque de um hacker. Eu acho que esse é um dos maiores problemas atualmente, há muitos fabricantes e eles apressando o lançamento de novos produtos no mercado…”

O consumidor de internet das coisas não está muito baseado no conceito de Privacidade desde a concepção (em inglês, Privacy by Design) e, nos últimos meses, eles têm aprendido da pior forma que esses gadgets são suscetíveis a ataques.

Os hackers também tiraram vantagens das portas de roteadores deixadas abertas durante a instalação, sem qualquer aviso para o usuário, e do firmware sem assinatura, que deixou dispositivos abertos à tomada de controle completa.

Como resultado, a internet das coisas é, atualmente, onde tudo que há de errado com a segurança de dados transparece. Felizmente, há uma série de lições que podemos implementar.

O poder das senhas

A segurança da informação não se resume a senhas, mas os profissionais de segurança esse ano nos ensinaram que senhas fracas ou de fábrica que nunca foram modificadas podem causar várias violações.

O especialista em senhas Per Thorsheim nos lembrou que uma possível solução para o nosso hábito de criar péssimas senhas é o fator duplo de autenticação.

“Da minha perspectiva de segurança, um fator duplo de autenticação é tudo. Isso aumenta a segurança de uma maneira que, em alguns casos, mesmo que eu revele minha senha do Facebook, por exemplo, você não será capaz de acessá-lo por causa do fator duplo de autenticação. Assim que você digitar meu nome de usuário e senha, vou receber um código por SMS do Facebook no meu telefone, que você não terá acesso. É muito bom.”

Uma das principais lições dos especialistas em senha este ano: mude as senhas de administrador do seu roteador doméstico agora. Administradores de TI corporativa também precisam dar uma boa olhada em suas próprias senhas e evitar “ajudar” os hackers.

Dados são valiosos

Este ano conversamos uma série de profissionais de segurança da área de direito e ciência de dados, entre eles, o advogado e cientista de dados Bennett Borden, que escreveu artigos sobre a aplicação do aprendizado de máquina e da análise de documentos em descobertas online e outras transações legais.

Ele explicou que, como funcionários, todos nós deixamos uma trilha digital na forma de e-mails e documentos, que podem ser bem reveladoras. Ele apontou que essas informações podem ser muito úteis quando advogados estão tentando calcular um valor justo para uma empresa que está sendo comprada.

Borden foi chamado para fazer uma análise de dados para um cliente e foi capaz de mostrar que as discussões internas na empresa indicavam que o preço pedido pela organização estava alto demais:

“Recebemos milhões de dólares de volta com o preço de compra e agora podemos fazer isso várias vezes porque somos capazes de obter respostas muito mais rapidamente por meio dos dados eletrônicos”

Portanto, a informação é um ativo valioso de uma perspectiva de negócio. Para a Varonis, isso não é novidade, mas ainda é poderoso para nós ouvir isso de alguém imerso no contexto corporativo.

Resumindo, como consumidores e frequentadores do meio corporativo, devemos ser mais cuidadosos na maneira como tratamos nossos dados: não podemos entregá-los tão facilmente, e devemos proteger o que está em nossa posse.