Quais as piores práticas de segurança cibernética?
Sempre que leio sobre o tema de segurança me deparo com o termo “Boas Práticas”. E realmente, as boas práticas elevam muito o grau de segurança do ambiente cibernético.
Todavia, olhando meu cotidiano, vejo que em muitas vezes não é uma questão de apenas adotar boas práticas com relação à segurança da informação, o importante é, também, conhecer quais a más práticas que adotamos.
Muitas das más práticas estão cotidianamente em organizações que tem infraestrutura crítica. Não evita-las aumenta o risco para a infraestrutura crítica, que em muitas vezes estão baseadas a segurança nacional, estabilidade econômica e vida, saúde e segurança pública.
Das más práticas mais comuns, podemos listar:
No mundo corporativo
Sempre acreditando que o mundo corporativo já tenha resolvido algumas das questões básicas de segurança, os piores GAPs são esses:- O uso de software sem suporte (ou em fim de vida) em serviços de infraestrutura crítica. Observei essa prática em abundancia no setor elétrico e na saúde. Essa prática perigosa é especialmente nociva quando aplicada em tecnologias acessíveis pela internet.
- O uso de senhas e credenciais conhecidas / fixas / padrão em serviço de infraestrutura é perigoso e eleva significativamente o risco à segurança. Essa prática perigosa é especialmente notória em tecnologias acessíveis pela internet.
- O uso de autenticação de fator único para acesso remoto ou administrativo a sistemas de suporte à operação de infraestrutura é perigoso e eleva significativamente o risco à segurança. Uma prática muito comum em áreas muito sensíveis.
No mundo privado
- Senhas desatualizadas
Todos sabemos que existem algumas práticas que são consideradas válidas para todos nós, no entanto esquecemo-nos delas quando precisamos executar alguma tarefa urgente. Uma das máximas de segurança da informação é o primeiro passo que você deve dar para acessar sua máquina . Pensou em sua senha? Sim. Isso mesmo! Ela é responsável por dar acesso a todos os seus arquivos, e-mails, planilhas, projetos, informações pessoais e corporativas sigilosas, acesso ao Internet Banking e muito mais. De acordo com os padrões de segurança atuais, sua senha deve ter no mínimo 8 caracteres entre letras maiúsculas, minúsculas e números, isto para atender um padrão médio de segurança, e não esqueça de trocar a sua senha a cada 45 dias.
Mas o que significa padrão médio de segurança? Significa que você está seguindo as recomendações internacionais de segurança da informação, mas ainda está muito vulnerável a ataques digitais. Existem algoritmos que conseguem descobrir a sua senha de 6 caracteres em até 5 minutos. Por isso é recomendável utilizar uma senha de 8 caracteres com letras maiúsculas, minúsculas, números e caracteres especiais como (*, @, #,%,!,&, $, -).
Bônus: o caractere ?, conhecido como sinal de interrogação, não é recomendado pois é muito utilizado em queries (consultas) de banco de dados e URLs para identificar uma requisição ao servidor, sendo facilmente identificado por algoritmos básicos. – Eu sei que você não irá colocar seu nome e nem sua data de nascimento na senha, por isso não vou mencionar este quesito neste texto.
- Sistemas Desatualizados
Outra medida de segurança muito importante é o sistema atualizado. Engenheiros de software trabalham muito para buscar falhas em seus sistemas operacionais, aplicativos e páginas web com serviços de hospedagem e funções de aplicações web que utilizamos para facilitar nossas tarefas.
Você acredita que empresas multinacionais gastariam milhões de dólares em pesquisa de vulnerabilidades com esses profissionais se não fosse importante? Eu tenho certeza que não.
As atualizações do sistema operacional Windows costumam ocorrer toda primeira terça-feira do mês, por exemplo. Esse é o período que a versão de atualizações com melhorias e soluções contra ameaças é lançado mundialmente. Há algumas exceções entre países, devido a políticas internas e ambientes de infraestrutura de cada país.
- Não ter um bom antivírus
Lógico que não estaremos totalmente seguros apenas com nosso sistema operacional atualizado. Um bom programa antivírus é fundamental para filtrar os ataques mais comuns de pishing (termo que é derivado do inglês “fishing”), que se refere ao roubo ou furto de dados de usuários, senhas, e-mails e informações de cartão de crédito para serem utilizados de forma fraudulenta pela internet. O pishing pode acontecer em seu computador e é muito comum que seja disseminado através do seu e-mail.
Geralmente um script de comando envia milhões de e-mails para milhões de usuários aleatórios com endereços captados da web e de redes sociais. Quando você recebe um e-mail de origem desconhecida e clica em algum link no corpo da mensagem, ou até mesmo em um botão estrategicamente colocado na mensagem com o título “Não quero receber mais este e-mail”, um comando é executado em segundo plano para buscar arquivos temporários da internet e dados que você salva no seu navegador web, como senhas de e-mail, de acesso a sites, de bancos, de sites de compras etc.
-
Resumindo, não é tão difícil fugir das “más práticas”, basta um pouco de foco e boa vontade!
0 comentários