< Voltar

Este é um texto longo, o primeiro pensamento é ignorá-lo, mas se o ler até ao fim verá que não desperdiçou o seu tempo.

 

O ensino e a cultura são aqueles parentes pobres que, quando há necessidade de diminuir custos, levam o corte mais substancial.

 

Depois queixam-se que não há competências suficientes para que a economia do País funcione devidamente.

 

O ensino e a cultura não são um custo, são investimentos a médio/longo prazo, mas sem os quais acabamos por definhar e nos tornar insignificantes no atual mundo globalizado.

 

A informática é encarada como o parente imprescindível, mas indesejável porque acarreta um custo que, ou não compreendemos, ou não aceitamos de bom grado. Tal como o ensino e a cultura, a informática deve ser encarada como um investimento e não como um custo.

 

Recentemente, temos tido cada vez mais notícias, e assistido, a perigosos ataques a sistemas informáticos de empresas que se deparam com os seus dados encriptados a par de mensagens a exigir um pagamento astronómico se quiserem o seu problema resolvido.

 

A utilização do avanço tecnológico nas empresas e as exigências fiscais são de tal ordem que qualquer perda de dados resulta em avultados prejuízos que, por vezes, colocam as empresas em situação financeira difícil. As nossas empresas têm de estar devidamente precavidas contra estes ataques maliciosos.

 

Todos nós já caímos na tentação de clicar naquele poup-up[1] que está a piscar no cantinho ou mesmo bem no centro da pagina que estamos a visualizar e que nos chama insistentemente para o prémio que acabamos de ganhar, ou para um hipotético concurso em que sem nada fazer recebemos tudo e mais alguma coisa, é verdade que em alguns casos até possa ser um concurso honesto, mas infelizmente muitos de nós já caímos nessa tentação e fomos surpreendidos com prémios menos bons, barras de ferramentas que por obra e graça de um simples click passaram a aparecer no nosso browser, motores de pesquisa que até são em tudo semelhantes àquele que habitualmente utilizamos, etc…, bom, estes são os casos menos graves e que com alguma astúcia ou pesquisa nos verdadeiros motores de busca até conseguimos encontrar a solução para cancelarmos o "prémio".

 

Casos piores também acontecem, alguns são verdadeiras ações de marketing que nos levam a instalar uma aplicação gratuita, por exemplo um antivírus, que após ser instalado pede de imediato para clicarmos na pesquisa à nossa máquina e por puro passo de magia (muitas as vezes temos o nosso disco de 1tb quase cheio que em casos normais levaria horas a rastrear), após alguns segundos, encontra uma “carrada” de supostos vírus e erros da máquina, e nós, todos satisfeitos, clicamos no milagroso botão para eliminar/corrigir - surpresa! -, afinal agora tenho de pagar para que possa eliminar as ameaças. Temos ainda aqueles e-mails “que ninguém recebe” mas toda agente já ouviu falar, temos o colega da secretária ao lado, sim aquela secretária que supostamente está lá mais ao lado porque o colega é mesmo um chato e o que queremos é pouco contato com o que ele diz, faz ou escreve no PC para que não interfira com o nosso trabalho, e depois esquecemo-nos que afinal a interferência poderá ser uma realidade, porque o chato do colega tem um cabo ligado ao PC dele que, por coincidência, está ligado no mesmo bastidor do cabo do nosso PC (aqui talvez já importa o que ele faça). Bom, afinal que mal é que isso tem? Ele apenas usa o PC para trabalho.

 

É verdade que, lá de vez em quando…, precisa de transferir uns pequenos ficheiros para uma Pendrive. Como a única Pendrive disponível é a dele, e que apenas tem trabalhos de escola do filho, nada de mal, claro, e aquele e-mail que ele recebeu do banco com um link do comprovativo de uma transferência? Será que ele clicou no link?, será que ainda não sabemos mas temos toda a rede da empresa infetada com um ransomware[2] em incubação a espera da sua hora para atacar? Ele, às vezes, também liga o telemóvel à porta USB do PC para carregar, mas isso não tem mal nenhum, certo? (até lerem esta notícia http://exameinformatica.sapo.pt/noticias/internet/2016-04-27-No-sul-da-Alemanha-ha-uma-central-nuclear-infetada-com-virus ninguém imaginaria que até os aviões podem ser infetados pelo simples fato da tripulação ligar os seus carregadores de telemóvel para carregar os dispositivos, agora imagine a sua rede a ser utilizada para carregar os vossos telemóveis!).

 

Todos temos o cuidado na utilização dos PC’s da empresa para outros assuntos que não trabalho, em alguns casos a correta implementação de sistemas de segurança nem permite determinados sítios da net, ou, até mesmo, não permite acesso ao conteúdo de dispositivos móveis (Pendrives por exemplo), por isso, naqueles minutinhos disponíveis para uma pausa, aproveitamos e atualizamos o nosso estado nas redes sociais através do telemóvel que nem é da empresa. Não há qualquer problema, o telemóvel não tem nenhum cabo ligado ao tal bastidor da empresa onde o meu PC e o dos colegas está ligado, não tenho nenhuma aplicação da empresa instalada que possa ser infetada, portanto, nenhum risco para a segurança da empresa, apenas para pouparmos os dados do nosso cartão 4G[3] e uma vez que a empresa tem Wi-Fi disponível aproveitamos e ligamo-nos por essa via (ironia da realidade, o AP[4] está na mesma rede do servidor da empresa).

 

Caro cliente, por vezes a maior ameaça à segurança não está fora da empresa, num lugar escondido da Deep Web[5], mas numa secretária a poucos metros de si. Quebre com os maus hábitos de segurança. Nenhum dos maus hábitos que uma pessoa pode eventualmente ter é tão grave que possa arrasar com uma empresa, como exceção da segurança informática[6]. Neste texto, alguns maus hábitos têm um potencial devastante, podendo deixar uma empresa vulnerável a hacks[7], perda de dados, furto ou a qualquer outra violação de segurança. A boa notícia é que existem alguns passos simples e até sem custos que podem ser tidos em conta relativamente a boas práticas de segurança e torná-los parte da solução em vez do problema.

 

Pode encontrar, abaixo, 5 passos importantes (adaptado da fonte: IT Insight):

1- Clicar em links e anexos sem os examinar Chegámos a um ponto em que os hackers[8] se tornaram assustadoramente competentes a forjar mensagens que parecem legítimas aos utilizadores e a usar truques de “social engeneering” para libertar vírus e ganhar acesso a sistemas de software proprietário. Estas podem mesmo parecer vir de fontes que os utilizadores conhecem e nas quais confiam (banca, finanças, etc…), não são raros estes casos em endereços de e-mail, até pode ser o nosso próprio endereço ou do tal colega da secretária ao lado. Solução: Verifique um URL[9] passando o cursor sobre o link/hyperlink para ver onde o clique os iria levar. Se o site não coincidir com o link ou parecer suspeito, não clique. Adicionalmente, os utilizadores devem evitar abrir qualquer anexo do qual não estivessem à espera ou contatar o suposto emissor.

2-Usar a mesma password para todas as contas A semelhança dos nossos cartões de multibanco ou de crédito em que utilizamos a mesma password, mas que ninguém sabe, a não ser que em alguns casos analise atentamente o nosso perfil nas redes sociais. É muito comum, também na informática, utilizar-se a mesma password. Todos os anos, a empresa de gestores de passwords SplashData destaca os piores hábitos dos utilizadores de internet na criação de passwords e publica uma lista das piores transgressões. Vale a pena clicar no link seguinte http://splashdata.com/blog/ . Previsivelmente, o uso de “123456”, “password” “QWERTY”, “data de nascimento”, “clube desportivo”, nome do “cão” ou do “gato”, etc…, é ainda bastante comum e constitui um convite permanente a ataques. Dito isto, é pouco realista esperar que todos os utilizadores possam criar e memorizar passwords sólidas e únicas para cada uma das suas contas, mas fica a dica, nunca utilizar como password algo que possa ser conhecido. Sabemos que se eu utilizar o nome do meu cão ou da gata ninguém vai descobrir. Afinal, que relação tem a minha password com as fotos do Killer e da KIKA que eu inocentemente publiquei na minha rede social?! Fi-lo apenas para os meus amigos os conhecerem pelo nome, não para dar pistas sobre a minha password.

Solução: Usar um gestor de passwords. Não só irá gerar passwords aleatórias e seguras, mas também as irá encriptar e memorizar de forma a que os utilizadores não tenham de o fazer, pode também consultar o link http://windows.microsoft.com/pt-pt/windows-vista/tips-for-creating-a-strong-password. Além de tudo isto, altere com alguma periodicidade as suas passwords.

3- Usar Wi-Fi pública Todos somos, em algum ponto, tentados pelo "canto da sereia" do Wi-Fi grátis. Quer estejam num café ou num aeroporto, existem alturas em que os utilizadores irão sentir a necessidade de se conectar à empresa nem que seja para atualizar a tabela de preços do PDA ou sincronizar aquela encomenda urgente. É aqui que é importante lembrarmo-nos que “grátis” e “público” não tendem a coincidir com “seguro”, e que mesmo um pequeno período de conectividade pode acartar um nível desproporcionado de risco. Solução: Considere tornar obrigatório o uso de uma VPN[10]. O tráfego será encriptado e as sessões de browsing dos utilizadores serão muito mais seguras.

4- Encarar a segurança como responsabilidade do staff de TI[11]. Existem de facto equipas técnicas e soluções de segurança instituídas para ajudar a proteger interações online, mas a verdade é que cada utilizador na organização é responsável pelo modo como as suas escolhas se refletem na sua segurança pessoal e na segurança da empresa. E a verdade mantém-se, a maioria das violações de dados e ciberataques começam com um utilizador final a clicar inocentemente em algo no qual não devia, a esquecer-se do portátil num táxi, ou a conectar o Tablet empresarial a uma rede Wi-Fi pública. Solução: Informação, formação e reforço. Certifique-se que os utilizadores estão informados relativamente a boas práticas de segurança e as cumprem diariamente. Ao saberem mais sobre riscos de segurança e sobre como os minimizar, os seus utilizadores podem tornar-se, ao invés de um elo fraco, uma defesa formidável e gratuita.

5-Adiar patches e updates Uma vez descoberta uma vulnerabilidade num software e criado um patch[12] para a mesma, é uma corrida contra o tempo para o testar e lançar antes que algo de grave aconteça. Estatísticas indicam que os hackers não perdem tempo e grande parte dos abusos de vulnerabilidades ocorrem nas duas semanas imediatamente após estas serem conhecidas.

Os updates devem ser feitos o mais cedo e frequentemente possível.

Solução: Considere adotar uma solução de gestão de patches que o ajude a automatizar updates, isto poderá ajudá-lo a evitar recair na rotina do “remind me later” e manter-se seguro e atualizado.

 

O que tem em comum um conjunto de ATMs (caixas de multibanco) que, na mesma cidade, se comportam como slot machines loucas, ou um gigantesco blackout que deixa 150 mil pessoas sem eletricidade por vários dias? Em comum, estas duas situações, que ocorreram num país da Europa de leste no final de 2015, tiveram o comportamento imprudente dos colaboradores de uma instituição bancária e de uma distribuidora elétrica ao abrirem anexos em e-mails de proveniência desconhecida.

Estes foram dois casos particularmente mediatizados pela espetacularidade das ações que os ataques desencadearam, mas fazem parte, infelizmente, do problema de segurança mais comum da atualidade: a falta de sensibilidade dos colaboradores dentro das organizações para os mais elementares procedimentos de segurança na utilização dos seus próprios dispositivos. Resumindo, comece por ter os sistemas operativos e outras ferramentas de TI atualizadas (infelizmente se atualizarem o JAVA poderão perder acesso a alguns recursos necessários, nestes casos pressionem os fornecedores das aplicações a disponibilizarem uma solução urgentemente, se fizerem uma pesquisa verificarão um número alarmante de ataques que utiliza falhas de segurança do JAVA), mantenham o vosso antivírus sempre atualizado mesmo que este seja uma versão gratuita, mas tenham em conta o que anteriormente dissemos: “grátis” não tende a coincidir com “seguro”, mantenham um conjunto de copias de segurança fora da rede da sua empresa, mas mais que tudo isto, tenha cuidado na utilização diária daquilo que possam receber por e-mail ou nos links que possa ser “tentado” a clicar, mesmo que venha ou, supostamente venha, do colega ao lado.

 

1- https://pt.wikipedia.org/wiki/Pop-up

2- https://pt.wikipedia.org/wiki/Ransomware

3- https://pt.wikipedia.org/wiki/4G

4--https://pt.wikipedia.org/wiki/Access_point

5- https://pt.wikipedia.org/wiki/Deep_web

6- https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o

7- https://pt.wikipedia.org/wiki/Hack

8- https://pt.wikipedia.org/wiki/Hacker

9- https://pt.wikipedia.org/wiki/URL

10- https://pt.wikipedia.org/wiki/Virtual_private_network

11- https://pt.wikipedia.org/wiki/Tecnologia_da_informa%C3%A7%C3%A3o

12- https://pt.wikipedia.org/wiki/Patch_(computa%C3%A7%C3%A3o)

 

Vitor Bulcão