incidenteAutora: Lilian Pricola

As estatísticas mostram que colaboradores internos são responsáveis por mais de 70% dos incidentes de segurança. Isso quer dizer que as empresas estão contratando hackers ou pessoas mal intencionadas? Não!! Por desconhecimento das políticas, processos e controles da empresa, as pessoas acabam expondo a organização a riscos. Trabalho há quase 25 anos na área; estive em várias empresas e troquei experiências com outros profissionais e vou citar casos que, realmente, ocorreram, por mais estranhos que possam parecer!

Um profissional levou de sua casa um roteador wireless e conectou-o na rede corporativa da empresa, visando auxiliar na conectividade de novos colaboradores. Ele sabia que deveria ter aberto um chamado técnico junto à equipe de redes, para providenciar os acessos. Sabia, também, que o atendimento levaria mais de uma semana, o que causaria atraso em seu projeto. O que ele não imaginava é que tal ação faria com que a rede da empresa ficasse exposta a possíveis ameaças de pessoas que estivessem localizadas externamente, no andar de baixo, de cima ou do outro lado da rua. Cometeu, portanto, ainda que sem intenção, um incidente de segurança e, quando foi abordado, informou que havia protegido o acesso ao roteador por meio de criptografia e senha. É importante ressaltar que somente profissionais autorizados podem instalar estes dispositivos na rede, pois neles são configurados controles adicionais, tais como criptografia avançada, senhas complexas, certificados digitais, restrição de acesso às imediações internas da empresa, não exposição do roteador a acessos anônimos (os usuários que desejam se conectar devem conhecer previamente o nome do roteador).

Mas como a empresa pode se proteger desse tipo de incidente?

Primeiramente, todo incidente deve ser documentado, registrado e analisado. Existe um controle na norma de segurança ISO/IEC 27001 denominado “aprendendo com erros”. Os erros sempre vão existir e devemos aprender com eles para podermos desenvolver prevenções e evitar que ocorram novamente.

No caso citado, a empresa inseriu um tópico em sua norma de segurança, informando que a conectividade de dispositivos na rede corporativa era de total responsabilidade da área de TI e que qualquer outro profissional que o fizesse estaria quebrando a referida norma de segurança. Medidas disciplinares cabíveis seriam aplicadas aos profissionais que inserissem qualquer dispositivo na rede corporativa. A divulgação desse tópico foi feita por meio de comunicados internos e inserção do conteúdo nos treinamentos corporativos. Controles adicionais foram introduzidos na rede para que, caso alguém conectasse algum dispositivo, este não fosse reconhecido automaticamente por ela.

E o que o profissional deveria ter feito para não expor a empresa ao risco? Primeiramente, deveria ter inserido, em seu cronograma de projeto, os prazos compatíveis entre a contratação de novos colaboradores e a abertura dos chamados técnicos. Como não o fizera, ele deveria ter aguardado o tempo necessário para o atendimento ou escalado o assunto para seus superiores. Um profissional não pode assumir um risco em nome da empresa; existem representantes, normalmente ligados à presidência, que podem fazê-lo, mas isto é um assunto para um outro artigo.

Veja Também:

Artigo: Posso usar a sua senha de rede?

EUA podem quebrar maior parte dos padrões de criptografia da Web

Governo, com espionagem, ressuscita projeto de e-mail nacional

As fechaduras biométricas viraram item de fábrica no mercado imobiliário

Cuidados com dispositivos móveis no exterior

Empresas devem estar preparadas contra pornografia infantil

Fonte: TI Especialistas