O fator humano é fundamental para uma boa segurança

Esqueça os ataques através do seu firewall. E sobre o cara que telefona para o serviço de suporte de TI, alegando ser um gerente sênior e ganha acesso a sua informação desse jeito? Esta é a engenharia social – explorando vulnerabilidades humanas em vez de tecnologias.

A maioria dos profissionais de segurança concorda que as pessoas são o elo mais fraco – então por que continuamos ignorando esta área de segurança? Ou, na melhor das hipóteses, dar-lhe um serviço labial através de programas de conscientização de segurança sem coração?

Todos sabemos que os atacantes se concentrarão no seu elo mais fraco. Por exemplo, eles não segmentam on-line diretamente. Em vez disso, eles atacam os clientes do banco, usando técnicas de phishing para enganá-los a entregar suas credenciais.

Alternativamente, um atacante pode simplesmente telefonar e solicitar detalhes de segurança. Mesmo uma contra medida de segurança “avançada”, como não pedir todas as suas informações secretas ao mesmo tempo em contato com você, está sendo contornada por fraudadores que descobriram que é possível chamar alguém mais de uma vez. Engenhoso!

Então, quem é culpado de ignorar sistematicamente a segurança humana? Eu começaria com especialistas de TI típicos que eles não gostam muito de usuários, e abordar fraquezas humanas não está em sua agenda.

RH (convenientemente) acha que a segurança da informação é um problema de TI. Com o fraco histórico de investimento no treinamento do Reino Unido, encontrar uma fatia do orçamento de treinamento para abordar a segurança humana pode ser um verdadeiro desafio.

A indústria de segurança da informação gosta de vender “soluções” de hardware e software caras. As pessoas da TI adoram sua tecnologia, então os fornecedores fazem fila para satisfazer esta necessidade e fazem uma boa vida no processo.

Talvez os especialistas em segurança possam salvar o dia. Mas com o guia do exame CISSP nos dizendo que é mais fácil preparar funcionários para resistir a ataques de engenharia social do que configurar um firewall, então talvez não.

O padrão ISO 27001 (BS 7799) pode ajudar? Afinal, trata-se de sistemas de gerenciamento de segurança da informação. Talvez não. Apenas um dos 133 controles aborda a questão das vulnerabilidades humanas, e isso simplesmente se concentra na conscientização geral da equipe.

A resposta começa com a união da segurança de TI, física e humana sob um verdadeiro sistema de gerenciamento de segurança de informações. Para ser justo, isso é algo que a ISO 27001 pode entregar, se for devidamente atendida, com base em uma avaliação adequada dos riscos.

Você também pode pensar sobre como você aloca seu orçamento de segurança. É equilibrado em proporção com as ameaças que enfrenta e a disseminação de vulnerabilidades dentro da sua organização?

Você pode pensar sobre segurança humana da mesma maneira que você poderia proteger um servidor web. Desenvolva uma compreensão completa das vulnerabilidades humanas, com um equilíbrio adequado entre as melhorias sistêmicas para proteger as fraquezas humanas, e treinamento efetivamente direcionado e conscientização.

Fonte: Computer Weekly

Tradução e revisão: Fernando Torres F. Silva e Bruna G. Zerbini Torres