PSI ou Política de Segurança das Informações é um dos itens básicos a qualquer empresa que procure se manter no mercado. Com o volume gigantesco de dados sendo trocados diariamente, é vital que se saiba gerenciar os riscos envolvendo a segurança das informações – caso contrário, as informações de sua empresa podem parar nas mãos de um concorrente, de fraudadores que poderão usar seus dados em benefício próprio ou até ser vítima de um pirata virtual, que lhe cobrará resgate para ter suas informações de volta.
Um dos capítulos que a PSI deve abordar são os cuidados com as senhas, sejam elas de acesso ao sistema, software de gestão, e-mails etc. Para exemplificar a importância do item, conto abaixo um dos cases envolvendo segurança das informações que passaram pela minha mão.
CASE: Vazamento de Informações
Há algum tempo, fui chamado a uma empresa em Recife/PE para apurar vazamento de informações.
Para vocês entenderem o contexto, o cliente prestava serviços dentro de outra empresa, modernizando sua rede elétrica. Um contrato de 7 dígitos.
Conforme o relato inicial, um ex-funcionário – vamos chama-lo de João – estaria enviando informações atuais, ou seja, informações que ele não teria mais acesso por estar fora da empresa, para a empresa contratante. Além disso, o mesmo fazia ameaças a empresa contratada – típico caso de ex-funcionário ressentido.
Não preciso nem dizer que as variantes são imensas para um problema como esse, mas identificamos um detalhe que fez toda a diferença: todas as informações, que o ex-funcionário teve acesso, foram trocadas através de uma conta de e-mail corporativo – a conta do Gerente de Projeto.
A partir desse ponto, nosso trabalho foi facilitado, pois poderíamos direcionar o foco para essa conta de e-mail, e a solução, realmente, não estava longe.
Em uma rápida verificação levantamos que 90% da empresa nunca tinha trocado a senha de e-mail – incluindo o tal Gerente de Projeto.
Todos que entravam na empresa ganhavam uma conta de e-mail cuja senha era o primeiro nome do colaborador + mês e ano de contratação, por exemplo maria1119. O correto seria que o usuário trocasse a senha após o seu primeiro acesso, mas isso não era cobrado ou orientado, ficando a cargo de cada pessoa.
Fizemos o que era possível para verificar se João poderia burlar de outra forma os servidores da empresa, mas não encontramos nada. Solicitamos a troca da senha da conta de e-mail e as ameaças cessaram.
João sabia do processo de abertura das novas contas de e-mail e tirou proveito das contas que não tiveram suas senhas alteradas – simples assim!
Várias medidas foram adotadas para evitar o risco futuro e abaixo eu coloco algumas dicas para aumentar a segurança de suas contas de e-mails corporativas:
- TROQUE A SENHA APÓS O PRIMEIRO LOGIN – oriente, instrua e cobre que a senha da conta seja trocada após o primeiro acesso.
- TROQUE A SENHA PERIODICAMENTE – oriente que seus funcionários troquem a senha de suas contas regularmente. Um período de 3 a 6 meses é recomendado.
- NÃO EMPRESTE A SUA SENHA – os funcionários devem ser orientados a não “emprestarem” ou divulgarem sua senha para outros.
- NÃO UTILIZE SENHAS FÁCEIS – é mais do que sabido que as senhas não devem ser datas de aniversário ou nome do animal de estimação. Utilize uma mistura de letras, números e caracteres especiais.
- AO SAIR DA MESA, BLOQUEIE SUA MÁQUINA – crie a rotina de, ao se afastar de sua mesa por longo período, como sair para o almoço ou ir para uma reunião, fazer o logoff na máquina.
- SE O CLIENTE DE E-MAIL PERMITIR, UTILIZE SENHA – além da senha de login – seja Windows ou rede – é recomendada senha para o cliente de e-mail (Outlook por exemplo). Desta forma, ao iniciar o aplicativo, será solicitada uma senha para acessar os e-mails. Assim, se você for emprestar sua máquina para alguém, basta fechar o cliente de e-mails e pronto.
- CÓPIA OCULTA – ao trocar sua senha, verifique no seu webmail se as opções de cópia oculta automática estão desativadas ou em branco. Caso contrário, alguém pode estar recebendo seus e-mails de forma automática, sem seu conhecimento.
- SPAM – os colaboradores devem ser orientados quanto a não abrir e-mails de origem desconhecida ou duvidosa, de forma a evitar qualquer forma de phishing (fraude eletrônica para coleta de informações do usuário, como senhas, cpf, dados bancários etc.).
Até parecem dicas simples, mas fazem a diferença. Após esse cliente de Recife, deparei com o mesmo problema em um cliente de São Paulo. Neste, os três diretores da empresa nunca haviam trocado suas senhas e conseguimos usar a senha padrão de criação, que era o nome da empresa e o primeiro nome do colaborador. Realizando testes, consegui acessar as três contas através do webmail.
No caso do cliente de Recife, se o ex-funcionário continuasse a enviar informações para o contratante, a empresa poderia ter perdido seu contrato, mas dependendo da empresa e das informações trocadas, o valor é imensurável caso um concorrente tenha acesso aos dados. Pense nisso!
Precisa de ajuda para implantar uma política de segurança das informações na sua empresa? Fale com a gente!
Forte abraço!