O panorama de ameaças à segurança está evoluindo a um ritmo alarmante, afetando empresas de todos os portes. Ao mesmo tempo, a segurança é, com muita frequência, discutida principalmente no contexto de ameaças que vêm de fora. É certo que os criminosos cibernéticos e outras ameaças externas devem ser priorizados, mas as organizações hoje devem reconhecer que também existem ameaças entre suas quatro paredes.

Os usuários finais, sejam bem ou mal intencionados, recebem alguma atenção como potencial de ameaça, mas isso ainda não é o suficiente. E não para por aí. Embora os departamentos de TI e seus veneráveis profissionais mereçam muito crédito não apenas por sua luta incansável contra uma variedade de ameaças, mas também por manter a empresa funcionando, eles próprios também podem, involuntariamente, se tornar uma vulnerabilidade à segurança.

A seguir, apresentaremos as principais maneiras de como os usuários finais podem ameaçar a segurança da infraestrutura de suas organizações e como os profissionais de TI também podem se tornar os piores inimigos de si mesmos, se não forem cuidadosos. Também daremos dicas de como os profissionais de TI podem atenuar essas ameaças internas frequentemente negligenciadas.

Usuários finais como uma vulnerabilidade da segurança

Embora muitos usuários finais não estejam cientes disso, eles podem representar uma grande ameaça à segurança de uma organização ao caírem até mesmo em armadilhas simples. O erro humano, por si só, cria inúmeras oportunidades para o crime cibernético, como phishing, ataques watering hole e outras táticas de engenharia social. Essas ameaças nem sempre dependem de malware sofisticado ou vulnerabilidades técnicas, senão da mentalidade e do comportamento das pessoas. Até mesmo sem que um agente mal-intencionado esteja envolvido, um funcionário desinformado ou descuidado ou um procedimento excessivamente complicado podem resultar no vazamento de informações sigilosas, que podem cair nas mãos de um invasor.

Para a TI, pode ser um desafio quase impossível gerenciar as atividades diárias dos usuários finais e garantir que não estejam, inadvertidamente, compartilhando informações confidenciais da empresa. O truque é começar por algum lugar. Com isso em mente, apresentamos algumas sugestões:

• O mais importante é a informação. Informar os usuários finais sobre medidas preventivas que eles podem implementar com simplicidade em seu dia a dia para proteger dados pessoais e da empresa é um bom primeiro passo. Isso inclui, entre outras coisas, recomendações sólidas sobre a criação de senhas, o uso aceitável de tecnologia que não seja gerenciada pela empresa (e por que certos usuários são inaceitáveis) e como detectar um ataque de engenharia social. Em todos os casos, demonstrações práticas costumam funcionar melhor.
• Informar sim, mas só isso não resolve. A TI deve formar parcerias com departamentos como recursos humanos e finanças para ajudar os usuários finais a entenderem o impacto que as violações podem ter na empresa. Por exemplo, pedir ao departamento financeiro que calcule os custos potenciais de uma violação de dados, que por sua vez afetam a rentabilidade da empresa e o sucesso dos próprios usuários finais, ajudará a convencer os usuários finais que antes acreditavam estar imunes a ameaças, a ataques cibernéticos ou ao impacto de uma violação.
  
• Busque reduzir o excesso de complexidade e atritos. Aqui também os profissionais de TI devem envolver o departamento de recursos humanos e incluir a liderança executiva para falar sobre processos do cotidiano da empresa. É menos provável que rotinas excessivamente complexas ou intrincadas sejam acatadas, o que também se aplica a políticas que causam atrito com os usuários finais. Por exemplo, se muitos usuários finais usarem uma ferramenta de armazenamento de arquivos na nuvem pública, como o Dropbox – criando um cenário de “TI das sombras” no processo – talvez seja melhor adotar a plataforma como uma ferramenta oficial e, portanto, centralmente gerenciada, em vez de tentar proibir o acesso.
• Organize-se e aproveite as ferramentas disponíveis. É imperativo que um plano geral e as políticas de segurança priorizem o fator representado pelo usuário final. O ciclo de vida geral do usuário final, que inclui as mudanças que podem ocorrer sem o uso, depois que ele deixa a empresa, deve ser levado em conta na elaboração de tais políticas. Por exemplo, quando um usuário final muda de cargo ou de departamento, pode ter acesso a informações que não são mais necessárias.

Por fim, intensifique o monitoramento. Uma plataforma de monitoramento da segurança para toda a organização complementa o antimalware, a prevenção da perda de dados e as ferramentas de segurança de e-mail, e permite à TI atenuar o fator humano pela detecção de sinais de comportamentos anormais e potencialmente perigosos. Também proporciona à TI uma visão mais clara de como os usuários finais estão usando os aplicativos, a rede, os sistemas etc. Essa inteligência pode então ser usada para determinar a melhor maneira de informar os indivíduos e aprimorar os processos.

O profissional de TI e as complexidades crescentes da TI moderna

Embora os usuários finais representem uma ameaça, algo que costuma ser ainda mais negligenciado é como o próprio departamento e os profissionais de TI podem ser visados pelos invasores. Como heróis desconhecidos na empresa, o departamento de TI está encarregado de gerenciar as imensas complexidades decorrentes da moderna infraestrutura de TI de hoje. Existe uma grande demanda sobre a TI para gerenciar uma variedade de novas tecnologias, como BYOD, nuvem, virtualização e mobilidade, entre muitas outras, com recursos e orçamentos limitados. O que complica ainda mais esse trabalho é que, com novas tecnologias e com a intensificação das telecomunicações, as empresas de fato não têm mais quatro paredes definidas – elas se tornaram porosas, abertas e disponíveis em qualquer lugar, a qualquer hora.

Com essa enorme demanda sobre os modernos profissionais de TI em mente, fica mais fácil entender como erros acontecem, por mais que eles tentem evitá-los. A questão é que as complexidades da TI moderna aumentam muito a probabilidade de os profissionais de TI cometerem erros simples durante o gerenciamento das infraestruturas de hoje – e esses erros simples podem ter ramificações de segurança. O que pode ser feito? Aqui estão algumas dicas:

• Simplifique o gerenciamento da TI, incluindo o gerenciamento da segurança, de modo a reduzir a probabilidade de erros. Não há como evitar o aumento da complexidade das infraestruturas de hoje. No entanto, usar as ferramentas corretas para simplificar seu gerenciamento no dia a dia – como monitoramento de redes, servidores, aplicativos e bancos de dados; virtualização, nuvem e gerenciamento de configurações; e software para suporte e central de ajuda remota – pode ajudar a prevenir a ocorrência de erros pelo fornecimento das informações de desempenho necessárias, o que permite a correção simples de problemas e a automação. Ferramentas como gerenciamento de patches e gerenciamento de informações e eventos de segurança (SIEM) também ajudam a simplificar o processo de gerenciar especificamente a segurança de infraestruturas.
• Vigie quem está vigiando. Para prevenir acidentes de gerenciamento incorreto de dados potencialmente sigilosos, os departamentos de TI devem monitorar as atividades das contas de administrador de maneira diferente de como inspecionam os usuários finais, além de auditar regularmente o uso de contas de administrador. Por meio do processo de auditoria, as empresas podem assegurar que os dados sigilosos se restringem às mãos corretas.
• Confie em terceiros apenas o necessário. Os departamentos de TI devem ser cautelosos com relação ao acesso e aos privilégios que concedem a prestadores de serviços de TI contratados e terceirizados, tomando cuidado para não confiar excessivamente neles. Eles devem ter um escopo de trabalho definido, ser monitorados extensivamente e, se possível, receber apenas um acesso remoto limitado.
• Aplique o princípio do privilégio mínimo. Como fazem com todos os outros, os profissionais de TI também devem atribuir a si próprios contas com credenciais baixas para o trabalho do dia a dia, evitando privilégios globais de administrador, exceto quando isso for absolutamente necessário.

Ao seguir essas práticas recomendadas, os profissionais de TI podem conseguir um tremendo impacto na segurança das infraestruturas de suas organizações. Com o ritmo da evolução e do crescimento do panorama de ameaças, isso deixa de um desejo e se torna uma necessidade.