Jean Carlos Cunha

.:: Diferente e eficiente::.

Caos de Vírus, porque do crescimento?

Ola pessoal tava passeano na net, dai vi um curioso arquivo sobre concientização contra virus..

Quem é culpado pelo Caos de Vírus?

É comum ouvir nas rodas do pessoal de Tecnologia da Informação e Segurança de Sistemas sobre a necessidade de mais treinamento e conscientização dos usuários corporativos sobre as ameaças digitais.

Esse assunto ressurge a cada nova onda de ataque do novo vírus baseado em email que acaba enganando o usuário e convencendo-o a clicar em um anexo que acaba infectando seu computador. Essa ingenuidade do usuário, que é tão facilmente enganado, é algo chocante para o pessoal de TI.

De quem é a culpa?


Mas será que o único culpado é o usuário? Na realidade, se fizermos uma análise imparcial, veremos que a responsabilidade é de todos – usuários técnicos e não-técnicos. E somente treinamento e conscientização do usuário, apesar de ser algo importante, não resolverá o problema sozinho.

Por exemplo, por que o programa cliente de email não avisou o usuário sobre o risco de abrir o anexo? Por que o servidor não deteve o vírus? Por que o Antivírus do desktop não eliminou o vírus?

Esses problemas são técnicos e não podem ser resolvidos simplesmente com treinamento de conscientização do usuário. Somente após sanar todas essas brechas de segurança que o pessoal de TI terá resultados efetivos do treinamento do usuário.

Quando há uma nova onda de ataque, todos acusam o usuário de cair em qualquer truque dos vírus de email. No entanto, do ponto de vista do usuário, ter caído no golpe do anexo parecia algo normal. Eles concluíram que clicar sobre o anexo não teria maiores conseqüências, já que chegou até sua caixa postal e ele não sabe exatamente o que pode ser uma ameaça ou não. De fato, todos nós nos acostumamos a clicar em anexos de e-mail para ler documentos úteis.

Agora, se você falar com desenvolvedores de software, provavelmente você ouvirá a reclamação de que é impossível proteger o usuário de ‘sua própria ingenuidade’.

Da perspectiva dos desenvolvedores, eles estão construindo software para atender a requisitos de funcionalidade e facilidade de uso que simplesmente violam as regras básicas de segurança. Um exemplo disso é o tratamento de senhas.

Um pouco sobre senhas


Todos, tanto técnicos quanto não-técnicos, têm maior ou menor desconforto com a infinidade de senhas usadas no dia-a-dia. Uma senha para entrar na rede, outra para entrar no ERP, outra para o correio eletrônico, outra para navegar na Internet.

Além dessa avalanche de senhas, há as regras de troca periódicas de senha. Os usuários simplesmente querem acessar tudo com uma única senha. Melhor seria sem senha alguma.

Na realidade, vemos muitos usuários com suas senhas anotadas em papéis embaixo do teclado, na porta do drive de CD e até nas bordas do monitor. Há ainda as chamadas senhas públicas, que são usadas por diversos usuários.

Para os usuários, as senhas são simplesmente ‘coisa do pessoal do CPD’ e servem somente para atrapalhar.

Não pensem os técnicos que eles estão muito melhor que os usuários não-técnicos. É muito comum ver empresas em que toda a equipe de TI sabe a senha master do sistema e que alguns deles a usam no dia-a-dia em vez de usar sua senha pessoal, com menos poder e conseqüentemente, menor risco de danos em caso de violação.

Exatamente esse ponto é que deve estar bem claro ao pessoal de TI: se alguém violar uma senha de usuário comum, tudo que ela poderá fazer afetará apenas esse usuário. Por outro lado se a senha Administrador for violada os estragos são ilimitados. É como dito pelo Peter Parker: “um grande poder requer grande responsabilidade”.

Todos estão envolvidos


O que ocorre é que os sistemas hoje são muito complexos e há uma grande quantidade de ameaças humanas e digitais tentando tomar o controle de nossos computadores, roubar nossas senhas e dados.

Um simples computador de usuário, com o leitor de e-mail desatualizado, pode ser a porta de entrada de vírus e um hacker pode usa-la como trampolim para outros computadores da rede, até mesmo servidores. O conceito da corrente também se aplica à segurança digital: uma rede é tão segura quanto seu computador mais vulnerável.

Toda a corporação deve estar decidida a implementar as medidas necessárias para a proteção de seus dados e sistemas. O usuário está na linha de frente dessa batalha e precisa de todo o apoio do pessoal de TI para não se tornar uma baixa.

O pessoal de TI deve disponibilizar ferramentas gerenciáveis transparente ao usuário para manter o sistema atualizado e protegido contra vulnerabilidades. Isso envolve o antivírus, o sistema operacional, o leitor de email, o navegador na Internet e tudo aquilo que tiver ligação com o mundo exterior.

Dentre essas ferramentas, um Antivírus Gerenciável Cliente-Servidor como o Symantec Antivírus Corporate Edition permite a atualização automática dos clientes. Além disso o administrador do sistema pode identificar os clientes desatualizados e receber mensagens instantâneas notificando a ocorrência de vírus.

Outra ferramenta útil é o servidor de atualização de software, o SUS Server, que gerencia a cópia e instalação de atualizações do sistema operacional, browser, Office e leitor de email.

Conscientizando o Usuário


Com todas essas ferramentas instaladas em sua rede, a equipe de TI pode passar para a fase de treinamento de conscientização dos usuários. Além desse treinamento de consciência, a corporação deve ter políticas de segurança definidas e cuidar de sua aplicação.

Ensine seus usuários a ser cautelosos com anexos de e-mail. Ensine-os a manter informações sigilosas sob sigilo, seu software anti-vírus em dia, e seu software de Firewall ativo.

Mesmo com todas essas medidas, porém, não fique chocado caso algum usuário cometa um engano. Em vez disso, aprenda com o engano e tome medidas para evitar que se repitam.

Resumindo então todo o assunto: A culpa pelo caos dos vírus cabe em parte ao usuário comum e em parte ao pessoal de TI. Mas a maior parte é decorrente da própria complexidade e da constante mutação dos ambientes computacionais.


Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: