Compartilhamentos 0 Views

Práticas de segurança que as grandes empresas NÃO seguem

6 de novembro de 2017

Administrador de segurança é aquele cara que trabalha no Feriadão quando todo mundo está na piscina ou largado no sofá maratonando série na Netflix.

É o herói da madrugada que gerencia permissões, aplica atualizações, sabe tudo que entra e tudo que sai da rede da empresa, tem todos os cabelos brancos aos 30 anos e manchas de café na camisa que um dia foi branca.

Mas não precisa ser assim! Cuidar da segurança de uma empresa não tem que ser esse monstro de sete cabeças, basta seguir os exemplos de gigantes como Equifax e Yahoo, ignorar os manuais, os acionistas, os usuários, as boas práticas recomendadas pelos especialistas, colocar os dois pés em cima da mesa, abrir uma cerveja às 11 horas da manhã e memorizar nosso guia do que fazer para manter sua empresa segura*.

(E para provar que estamos falando sério, vamos usar imagens sisudas de segurança digital para ilustrar o artigo.)

Todos iguais

O telefone toca toda hora com gente pedindo permissão para acessar esse arquivo ou aquela função do sistema? Chato, né? Atrapalhando seu xaveco no WhatsApp… você poderia até fazer um levantamento completo das necessidades de todos os usuários, compartimentalizar o sistema, fazer um controle de acesso de domínio, mas, quer saber? Sempre vai ter alguém telefonando.

A solução para não esquentar a cabeça é liberar geral. Pronto! Todos iguais na empresa, com acesso pleno e poderes de administrador. Não pleno-pleno, é claro, tem que haver uma conta de Administrador Master Jedi que é só sua, mas o resto pode nivelar.

Por que o padrão de hexágonos? É uma referência aos hexadecimais? Mas tem umas coisas escritas em binário! Alguém já tentou traduzir o que está escrito aí?

A tia do café? Conta de administrador porque algum dia ele pode precisar acessar a máquina de backup quanto ninguém mais estiver disponível. O estagiário novo que nem barba tem ainda? Conta de administrador para ele, com permissão de leitura, escrita, tudo, sem preconceitos com estagiários. Se o estagiário não for efetivado, mantenha a conta, porque ele pode voltar meses depois como contratado, quem sabe o dia de amanhã? Aquela mulher da contabilidade com voz engraçada? Administradora, é claro, com acesso total ao servidor de domínio, se ela não entende de TI, ela não vai nem chegar perto, certo?

Lembrando também que contas de convidados são para pessoas mal-educadas. Como dizer por aí, minha casa é sua casa e qualquer convidado também é um administrador, com todos os privilégios.

Quanto mais programas melhor

Imagine uma empresa onde todos os programas instalados são vigiados pelo administrador de segurança, esse grande Big Brother digital que tudo vê, tudo sabe! Ou uma empresa onde cada máquina só pode ter os programas e ferramentas autorizados pelo administrador, onde um laptop inocente não pode ser conectado na rede sem que o administrador permita. Você quer ser esse ditador, você quer ser esse enxerido que fica monitorando o que seus colegas de trabalho instalam ou deixam de instalar?

É claro que não! Todo mundo ama um administrador de segurança que libera o funcionário para exercer sua liberdade, sua autonomia, sua flexibilidade para baixar da internet todas as ferramentas e informações que precisa. O programa é pago? Pode baixar o crack naquele site chinês ou russo e, se clicar no executável e não acontecer nada, baixa outro e tenta de novo que uma hora vai!

Um monte de ícones voando para o maior phablet já fabricado pelo Homem! Não, sério, olha o tamanho dessa coisa!

Diversidade não é a palavra-chave de hoje para uma empresa sadia? Então, seja um bom administrador de segurança e promova a diversidade: diversas versões dos mesmos programas rodando ao mesmo tempo, qualquer notebook é bem-vindo, viva o Java, viva o Flash!

Foco nas ameaças certas

Vulnerabilidades conhecidas são para os fracos! Você quer se destacar na multidão de administradores de segurança ou apenas seguir a manada? Ignore completamente os malware mais populares, os ataques de phishing, os alertas dos fabricantes de software e sistemas e foque suas energias nas ameaças exóticas, os ataques de invasão por ondas sonoras, luzes de led ou telepatia.

Um cientista em Zurique conseguiu extrair o login e senha de um usuário a partir da captação das teclas digitadas? É óbvio que amanhã mesmo alguém vai tentar invadir sua empresa com esse método, então solicite imediatamente um orçamento para a compra de teclados que randomizem o som emitido pelas teclas e dispare um email para todos os funcionários sobre o risco envolvido. Quando um ataque desse tipo for evitado na firma, todos o considerarão um herói. Talvez você até ganhe uma plaquinha na parede.

Caveira sempre mete medo, não tem erro! Quer falar de ameaças digitais? Uma caveira de retângulos azuis é a pedida!

NotPetya e WannaCrypt exploraram a mesma vulnerabilidade? Coincidência. Dificilmente um hacker irá criar um vírus que faça isso uma terceira vez. Imagina, que ridículo! Não tem pressa para consertar essa brecha de segurança. Quem infectou, infectou, quem não infectou não infecta mais, o importante agora é acompanhar as ameaças que ninguém imagina e focar nelas, estar sempre um passo à frente desses hackers safados!

Panela velha é que faz comida boa…

… já dizia sua avó e ela estava certíssima em sua sabedoria de outros tempos. Os fabricantes de softwares e sistemas vivem publicando atualizações quase que todos os dias e acompanhar isso cansa. Se o programa está funcionando, se não tem ninguém reclamando, por que se importar?

Com cada funcionário instalando o que quer em suas estações, pense na trabalheira para manter tudo atualizado! E se foi o funcionário que instalou o Net-Flix.exe, ele que mantenha o programa atualizado! Você é um administrador de segurança, o sujeito da conta Jedi Master, não uma marionete que a Microsoft e a Oracle sacodem toda vez que publicam dezenas de atualizações.

Foi o que saiu no Google Images quando pesquisei por “patches”, ok?

E pra quê tanta atualização? Esse povo não sabe construir um programa direito de primeira? Não tenha pressa, quando der, atualize os sistemas, pare serviços, dê reboot, de preferência quando todos os funcionários estivem na firma para eles verem que você trabalha por eles.

Mantenha seus segredos bem-guardados

Aquele sujeito careca do RH te odeia. É a única explicação para ele continuar contratando gente que não entende nada de segurança digital. Quantas vezes você não teve que explicar que “12345678” é uma senha muito mais forte que “12345”? Depois de um tempo cansa…

E os funcionários continuam caindo em emails estranhos, em telefonemas suspeitos e pedindo conselhos. O resultado é que você é obrigado a parar seu trabalho importante como administrador de segurança para explicar para pessoas com graduação o que fazer com anexos de email ou se podem ou não revelar suas senhas no telefone. Azar o deles e do careca do RH!

Olha o binário aí de novo! E o uniforme oficial de 11 em 10 hackers, um capuz sombrio para ninguém reconhecê-lo digitando no quarto trancado.

Se pelo menos houvesse uma forma desses funcionários possuírem um entendimento melhor de como funciona a segurança na empresa… mas aí também eles saberiam todos os seus segredos e qualquer um poderia tomar o seu lugar. Então, fique quieto, não sugira treinamentos ou seminários, não envie alertas, nem convoque reuniões. Isso é uma empresa, não uma escola!

Mantenha seu trabalho misterioso, a luz meio apagada na sua sala, procure se vestir como se estivesse em Matrix.

 

*não nos responsabilizamos por danos físicos, emocionais, materiais, espirituais que possam acontecer com você, seu currículo, os sistemas de sua companhia ou sua reputação na indústria. Olhares tortos, bilhetes mal-humorados e até demissões podem acontecer em virtude do uso desse guia. Se beber, não administre.

Você pode se interessar

O maior Festival de Cultura Hacker da América Latina acontece em São Paulo
Notícias
1 visualizações
Notícias
1 visualizações

O maior Festival de Cultura Hacker da América Latina acontece em São Paulo

Carlos L. A. da Silva - 6 de novembro de 2017

Evento Roadsec SP17 trará quase 24 horas de palestras temáticas, atividades de aprendizado interativo e shows que pretendem desmistificar e fomentar a comunidade hacker brasileira.

Samsung alfineta o iPhone em novo comercial
Notícias
3 visualizações
Notícias
3 visualizações

Samsung alfineta o iPhone em novo comercial

Carlos L. A. da Silva - 6 de novembro de 2017

Propaganda mostra consumidor que durante dez anos foi usuário de iPhones... com todos os seus percalços. Confira!

CEO da Apple critica as redes sociais
Notícias
1 visualizações
Notícias
1 visualizações

CEO da Apple critica as redes sociais

Carlos L. A. da Silva - 6 de novembro de 2017

Em entrevista, Tim Cook afirma que plataformas estão sendo utilizadas para disseminar notícias falsas, polemizar e dividir a sociedade.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Hackathon da Alterdata Software revela novas ideias de negócios
Notícias
1 visualizações
1 visualizações

Hackathon da Alterdata Software revela novas ideias de negócios

Carlos L. A. da Silva - 6 de novembro de 2017
Promoções de Jogos do Final de Semana (03/11)
Notícias
1 visualizações
1 visualizações

Promoções de Jogos do Final de Semana (03/11)

Carlos L. A. da Silva - 3 de novembro de 2017
Confira a lista de jogos da PlayStation Plus para Novembro
Notícias
5 visualizações
5 visualizações

Confira a lista de jogos da PlayStation Plus para Novembro

Carlos L. A. da Silva - 1 de novembro de 2017