Ser Humano: Uma das maiores vulnerabilidades dentro da cadeia de segurança da informação

Bom, primeiramente precisamos entender o que é vulnerabilidade, para ficar mais fácil podemos entender vulnerabilidade como fragilidade, delicadeza e insegurança, todos nós corremos riscos que quer dizer ter a probabilidade de uma ameaça atingir a uma vulnerabilidade, desta forma uma ameaça sempre é criada com o intuito de explorar uma vulnerabilidade. Somos vulneráveis a assaltos, infecções por meio de vírus criando uma doença física ou emocional, desastres naturais, entre outros, e na tecnologia isso não é diferente.


Talvez, você é o administrador de todo o seu parque de máquinas e a corporação que você atua possui diversas tecnologias para proteção do parque atual, tais como proteção para os endpoints, ferramentas contra vazamento de informações, criptografia, segundo fator de autenticação, cofre de senhas, firewall, proxy, IPS/IDS, SIEM, e tantas outras tecnologias de segurança da informação que pode ser inserida dentro do seu ambiente tecnológico, claro, são soluções efetivas e que te ajudam a minimizar as vulnerabilidades que o ambiente pode possuir, já que não estamos 100 % seguros.

Mas, quero chamar sua atenção para uma vulnerabilidade que não existe produto que irá mitigar do dia para a noite, é a vulnerabilidade do usuário, em conversas pelos cafés, corredores, bares, escutamos sempre usuários comentando sobre a empresa, seja bem ou mal, seja sobre negócios específicos que estão sendo tratados ou negócios que já foram perdidos, concorrentes, preços, promoções, ações, etc. Muitas informações sensíveis são faladas nesses tipos de conversas e em lugares não ideais para tal, aqui está um exemplo de uma grande vulnerabilidade para o seu negócio, pois sempre estamos rondados de ameaças em nosso entorno e nesse caso as ameaças são outras empresas concorrentes ou até mesmo clientes que podem captar as informações que são críticas para a corporação, nesse caso de nada adiantou ter soluções de tecnologia se o usuário foi o grande vulnerável em todo o processo e fez com que concorrentes soubessem de negócios da corporação.

Até aqui, citei apenas um exemplo e podemos explorar muito mais, tal como usuários que conversam entre si e comentam sobre a senha de rede para seus familiares, colegas ou guardam essas senhas em autocolantes em suas estações de trabalho, permitindo assim que o atacante não faça muito esforço para conseguir ter acesso ao ambiente de sua corporação.

Talvez você já tenha escutado falar no termo Engenharia Pessoal, essa é uma das grandes dores que as corporações sofrem, mas que ainda não aplicaram o remédio necessário para a mitigação, o atacante busca explorar a vulnerabilidade do usuário, fazendo perguntas chaves, ou captando informações em conversas como citadas acima, a partir daí, já consegue fazer um ataque direcionado para aquele pool de pessoas, com os dados que tem em mãos, como por exemplo e-mails phishings que tem o intuito de roubar informações, mas agora estão muito mais inteligentes, pois é enviado com conteúdos relacionados ao dia a dia do usuário, isso porque em algum momento captou informações sobre a corporação.

E o que fazer com o elemento que é mais vulnerável dentro da cadeia de segurança da informação?

Treinamento é a palavra-chave, mostrar para os usuários situações reais e que podem prejudicar a sua vida pessoal e financeira, tal como pode prejudicar sua vida profissional expondo os dados da corporação, é necessário ter uma recorrência de treinamentos e informativos para os usuários, conscientizando dos riscos que correm ao comentar sobre dados da empresa com qualquer pessoa e em qualquer lugar. Essa não é uma tarefa fácil, pelo contrário é uma das tarefas mais difíceis quando falamos de segurança da informação, mas é necessário a persistência dos administradores para a continuidade de tal conscientização e mitigação de uma das maiores vulnerabilidades que é o usuário.