Introdução à Ciber Higiene
O termo e conceito de Ciber Higiene, do inglês "Cyber Hygiene", começou a ser popularizar em Agosto de 2005, segundo o Google Trends [0], e trouxe à luz a importância de aplicar boas práticas de segurança que devem ser exercidas no ciber espaço, ou internet se preferir, em diversas vertentes da segurança da informação para prevenir ciber ataques tanto para indivíduos como para organizações (foco deste artigo). Estas vertentes variam desde segurança de aplicação até educação contra engenharia social, por exemplo.
[0] Pesquisa por "cyber hygiene" ao longo dos anos
Você pode fazer uma analogia à higiene pessoal. Escovar os dentes e tomar banho são atividades indispensáveis para qualquer um que preza pela higiene individual. Gerenciar riscos, implementar controles de acesso e monitorar ativos são exemplos de atividades primárias para quem preza por proteção contra ciber ameaças.
Ninguém quer ser invadido, ter seus dados vazados e ter que responder por isso, não é? Por isso é importante fazer a lição de casa, a começar pela Ciber Higiene. A dúvida que resta então é: como fazer uma boa ciber higiene?
Lembrando que ciber higiene é como arroz com feijão (ou como um papel higiênico?!). Estamos falando do básico, ou seja, ciber higiene por definição é um esforço de baixo custo. Assim como você não precisa tomar um banho com um sabonete de R$ 500 para se limpar, você não precisa gastar milhões para conseguir se proteger. Claro que é possível evoluir além da ciber higiene, mas a maioria das organizações nem a esse nível chegou.
Rumo à Ciber Higienização
Existem diversas frentes que devem ser atacadas para conseguir se higienizar. E essas frentes dependem de como o seu negócio funciona. Por exemplo uma startup que vende um Software como Serviço (SaaS) tem atividades diferentes de higienização a serem realizadas em relação a uma organização com 500 pessoas cujo carro chefe seja um produto alimentício vendido apenas em supermercados. A higienização tem que ser adaptada à realidade de cada um, embora os esforços sejam muito parecidos e tendam a apenas diferir em escala de execução.
A essência da ciber higienização é quebrar as atividades diárias e aplicar segurança para cada uma delas, mas fazer isso sem um profissional de segurança não é nada recomendado. Ainda assim, se me perguntassem o que mesmo empresas que ainda não consultaram um profissional de segurança deveriam fazer, acredito que essa lista minimalista deva ser contemplada:
- Realize Backup das informações mais valiosas pelo menos. Servidores falham e dados podem ser corrompidos. Mesmo se isso não acontecesse, os famosos Ransomwares, malwares que encriptam os dados e pedem por um ransom (resgate) tem movimentado milhões de dólares e eles se propagam como praga. Melhor ter um backup a ter que pagar um hacker que talvez nunca devolva seus dados.
- Treine os funcionários contra engenharia social. Principalmente os funcionários do comercial que costumam ser as vítimas favoritas dos atacantes. Faça simulações até que todos entendam que não se deve clicar em qualquer link, nem abrir qualquer anexo, mesmo que o nome do remetente seja o mesmo do dono da empresa.
- Entenda o que você faz. Isso vale para tudo. Sempre que você entende o que está fazendo fica mais fácil entender as implicações de segurança relacionadas. Vai implementar uma autenticação via contas do Google ou Facebook? Não simplementes "coloque para funcionar". Entenda o que acontece, o que pode dar errado e faça testes.
- Hackeie você mesmo antes dos outros. Se você não fizer isso, os hackers mal intencionados farão. Você pode tanto baixar alguns scanners e rodar ou utilizar um serviço gratuito para isso como o Gauntlet.io.
- Gerencie os riscos de segurança. Tenha uma política para isso, armazene em uma planilha ou no Trello e torne isso pauta de reunião. Leve isso a sério. Tenha alguém responsável pela segurança, mesmo que seu time seja minúsculo.
- Esteja sempre atualizado. Tanto para você como pessoa quanto para os sistemas. As atualizações dos sistemas tendem a corrigir falhas de segurança (apesar de poderem introduzir outras, mas que ainda terão que ser descobertas pelos atacantes). Atualize sua aplicação web, seu servidor, o sistema operacional do seu celular, o firmware do roteador e tudo que estiver ao seu alcance.
- Controle de Acesso Básico. Desabilite contas de funcionários desligados, forneça apenas o acesso necessário para os colaboradores realizarem as respectivas funções e lembre de atualizar essas permissões quando o colaborador mudar de função. É só isso. É simples, apesar que essa simples tarefa se torna um frankenstein na maioria dos lugares.
- Não deixe nada sem senha/proteção. Celular com informações da empresa? Coloque uma senha. Computador? Coloque uma senha. Além disso coloque o tempo máximo de inatividade para travar a tela em caso de ausência. Simples também, mas muita gente perde o celular sem senha ou se ausenta do computador por muito tempo.
- 2 Fatores de Autenticação Onde Importa. Conta do Google principalmente. Cadastre a autenticação com 2 fatores e cadastre um número de celular que ninguém saiba de preferência, para evitar ataques nas próprias redes de telefonia também. Mesmo se tiverem sua senha ainda não vão conseguir entrar na conta. Contas críticas precisam de tal segurança. Felizmente é trivial de configurar. Estamos falando de ciber higiene afinal :)
Lembrando que essa lista aborda uma parte de ciber higiene, mas não toda, porque só a sua realidade vai determinar o que seria o todo. Ainda assim, não pare por aí. Os atacantes não param, por que você pararia?
Alguns links úteis sobre Cyber Hygiene:
- Campanha de Ciber Higiene https://www.cisecurity.org/cyber-pledge/
- Explicação mais verbosa sobre Ciber Higiene http://resources.infosecinstitute.com/the-importance-of-cyber-hygiene-in-cyberspace/
O próximo post será mais técnico.
Isso é tudo por hoje, obrigado!