Os erros que os especialistas cometem com segurança da informação

Profissionais de segurança da informação, principalmente aqueles em posição gerencial, são obrigados a vencer, diariamente, diversas batalhas corporativas: chefes que não compreendem a necessidade de investir na proteção de dados, funcionários que contaminam seus computadores com pragas que não existiriam se eles estivessem simplesmente trabalhando durante o expediente, fornecedores ignoram suas necessidades, entre outras.

Essa realidade deveria transformar os profissionais de segurança em verdadeiros paladinos das melhores práticas voltadas a prevenção de incidentes na rede corporativa. No entanto, é só dar uma olhada na rotina desses especialistas para notar que eles também cometem erros que prejudicam as políticas de proteção das empresas.

De acordo com o consultor inglês especializado em assegurar a integridade dos dados corporativos, Graham Cluley, mesmo que pareça contraditório, os profissionais que mais entendem do assunto, são os que menos respeitam as regras estipuladas por eles.

Com base em um levantamento, Cluley elenca os seis  pecados mais cometidos pelos profissionais  da área de segurança.

1. Utilizar ferramentas para encurtar URL: comum aos usuários de mídias sociais como o Twitter, o mecanismo para reduzir o número de caracteres de uma URL (endereço de uma página da internet) é utilizado para compartilhar conteúdos. Porém, esse serviço não dispõe de mecanismos de proteção suficientes para garantir o tráfego seguro dos dados ali movimentados.

De fato, alguns desses sites deram os primeiros passos em direção à implementação de projeto para filtrar endereços perigosos ou que possam representar ameaças, mas essa única iniciativa não acaba com o problema.

2. Ignorar avisos de segurança: mesmo sabendo que determinadas ações podem implicar na invasão dos computadores ou na troca insegura de dados, muitos profissionais ignoram os alertas indicando que alguma operação não é segura. Isso acontece, na maioria das vezes, pela pressa para alcançar um objetivo. “Não importa se depois disso o computador for invadido, as pessoas pensam em fazer o que devem de forma rápida”, diz Cluley.

3. Acessar arquivos que não lhe pertencem: é difícil alguém admitir, mas grande parte dos especialistas segurança já “deu uma olhada” nos dados de alguém sem que isso fosse uma necessidade profissional.

4. Fazer uso de senhas fracas: os profissionais de TI, ao contrário do que se imagina, são os que mais utilizam o nome dos filhos, a data de nascimento ou o número do telefone de casa como senhas de acesso.

5. Ignorar atualizações: toda semana, fornecedores de diversos segmentos enviam mensagens com avisos de atualizações em seus sistemas. Mesmo sabendo que a instalação delas irá melhorar não só o desempenho, como também o nível de proteção dos dados armazenados em uma máquina, os profissionais de segurança não o fazem.

6. Acessar redes públicas sem fio: qualquer pessoa sabe que as redes sem fio disponíveis em aeroportos, shoppings e outros ambientes, geralmente, não possuem nenhum atributo de segurança. Mesmo assim, quando na urgência de checar e-mails ou resolver algum problema, os profissionais de TI acessam tais redes.