0 Compartilhamentos 11 Views

Práticas de segurança que as grandes empresas NÃO seguem

6 de novembro de 2017

Administrador de segurança é aquele cara que trabalha no Feriadão quando todo mundo está na piscina ou largado no sofá maratonando série na Netflix.

É o herói da madrugada que gerencia permissões, aplica atualizações, sabe tudo que entra e tudo que sai da rede da empresa, tem todos os cabelos brancos aos 30 anos e manchas de café na camisa que um dia foi branca.

Mas não precisa ser assim! Cuidar da segurança de uma empresa não tem que ser esse monstro de sete cabeças, basta seguir os exemplos de gigantes como Equifax e Yahoo, ignorar os manuais, os acionistas, os usuários, as boas práticas recomendadas pelos especialistas, colocar os dois pés em cima da mesa, abrir uma cerveja às 11 horas da manhã e memorizar nosso guia do que fazer para manter sua empresa segura*.

(E para provar que estamos falando sério, vamos usar imagens sisudas de segurança digital para ilustrar o artigo.)

Todos iguais

O telefone toca toda hora com gente pedindo permissão para acessar esse arquivo ou aquela função do sistema? Chato, né? Atrapalhando seu xaveco no WhatsApp… você poderia até fazer um levantamento completo das necessidades de todos os usuários, compartimentalizar o sistema, fazer um controle de acesso de domínio, mas, quer saber? Sempre vai ter alguém telefonando.

A solução para não esquentar a cabeça é liberar geral. Pronto! Todos iguais na empresa, com acesso pleno e poderes de administrador. Não pleno-pleno, é claro, tem que haver uma conta de Administrador Master Jedi que é só sua, mas o resto pode nivelar.

Por que o padrão de hexágonos? É uma referência aos hexadecimais? Mas tem umas coisas escritas em binário! Alguém já tentou traduzir o que está escrito aí?

A tia do café? Conta de administrador porque algum dia ele pode precisar acessar a máquina de backup quanto ninguém mais estiver disponível. O estagiário novo que nem barba tem ainda? Conta de administrador para ele, com permissão de leitura, escrita, tudo, sem preconceitos com estagiários. Se o estagiário não for efetivado, mantenha a conta, porque ele pode voltar meses depois como contratado, quem sabe o dia de amanhã? Aquela mulher da contabilidade com voz engraçada? Administradora, é claro, com acesso total ao servidor de domínio, se ela não entende de TI, ela não vai nem chegar perto, certo?

Lembrando também que contas de convidados são para pessoas mal-educadas. Como dizer por aí, minha casa é sua casa e qualquer convidado também é um administrador, com todos os privilégios.

Quanto mais programas melhor

Imagine uma empresa onde todos os programas instalados são vigiados pelo administrador de segurança, esse grande Big Brother digital que tudo vê, tudo sabe! Ou uma empresa onde cada máquina só pode ter os programas e ferramentas autorizados pelo administrador, onde um laptop inocente não pode ser conectado na rede sem que o administrador permita. Você quer ser esse ditador, você quer ser esse enxerido que fica monitorando o que seus colegas de trabalho instalam ou deixam de instalar?

É claro que não! Todo mundo ama um administrador de segurança que libera o funcionário para exercer sua liberdade, sua autonomia, sua flexibilidade para baixar da internet todas as ferramentas e informações que precisa. O programa é pago? Pode baixar o crack naquele site chinês ou russo e, se clicar no executável e não acontecer nada, baixa outro e tenta de novo que uma hora vai!

Um monte de ícones voando para o maior phablet já fabricado pelo Homem! Não, sério, olha o tamanho dessa coisa!

Diversidade não é a palavra-chave de hoje para uma empresa sadia? Então, seja um bom administrador de segurança e promova a diversidade: diversas versões dos mesmos programas rodando ao mesmo tempo, qualquer notebook é bem-vindo, viva o Java, viva o Flash!

Foco nas ameaças certas

Vulnerabilidades conhecidas são para os fracos! Você quer se destacar na multidão de administradores de segurança ou apenas seguir a manada? Ignore completamente os malware mais populares, os ataques de phishing, os alertas dos fabricantes de software e sistemas e foque suas energias nas ameaças exóticas, os ataques de invasão por ondas sonoras, luzes de led ou telepatia.

Um cientista em Zurique conseguiu extrair o login e senha de um usuário a partir da captação das teclas digitadas? É óbvio que amanhã mesmo alguém vai tentar invadir sua empresa com esse método, então solicite imediatamente um orçamento para a compra de teclados que randomizem o som emitido pelas teclas e dispare um email para todos os funcionários sobre o risco envolvido. Quando um ataque desse tipo for evitado na firma, todos o considerarão um herói. Talvez você até ganhe uma plaquinha na parede.

Caveira sempre mete medo, não tem erro! Quer falar de ameaças digitais? Uma caveira de retângulos azuis é a pedida!

NotPetya e WannaCrypt exploraram a mesma vulnerabilidade? Coincidência. Dificilmente um hacker irá criar um vírus que faça isso uma terceira vez. Imagina, que ridículo! Não tem pressa para consertar essa brecha de segurança. Quem infectou, infectou, quem não infectou não infecta mais, o importante agora é acompanhar as ameaças que ninguém imagina e focar nelas, estar sempre um passo à frente desses hackers safados!

Panela velha é que faz comida boa…

… já dizia sua avó e ela estava certíssima em sua sabedoria de outros tempos. Os fabricantes de softwares e sistemas vivem publicando atualizações quase que todos os dias e acompanhar isso cansa. Se o programa está funcionando, se não tem ninguém reclamando, por que se importar?

Com cada funcionário instalando o que quer em suas estações, pense na trabalheira para manter tudo atualizado! E se foi o funcionário que instalou o Net-Flix.exe, ele que mantenha o programa atualizado! Você é um administrador de segurança, o sujeito da conta Jedi Master, não uma marionete que a Microsoft e a Oracle sacodem toda vez que publicam dezenas de atualizações.

Foi o que saiu no Google Images quando pesquisei por “patches”, ok?

E pra quê tanta atualização? Esse povo não sabe construir um programa direito de primeira? Não tenha pressa, quando der, atualize os sistemas, pare serviços, dê reboot, de preferência quando todos os funcionários estivem na firma para eles verem que você trabalha por eles.

Mantenha seus segredos bem-guardados

Aquele sujeito careca do RH te odeia. É a única explicação para ele continuar contratando gente que não entende nada de segurança digital. Quantas vezes você não teve que explicar que “12345678” é uma senha muito mais forte que “12345”? Depois de um tempo cansa…

E os funcionários continuam caindo em emails estranhos, em telefonemas suspeitos e pedindo conselhos. O resultado é que você é obrigado a parar seu trabalho importante como administrador de segurança para explicar para pessoas com graduação o que fazer com anexos de email ou se podem ou não revelar suas senhas no telefone. Azar o deles e do careca do RH!

Olha o binário aí de novo! E o uniforme oficial de 11 em 10 hackers, um capuz sombrio para ninguém reconhecê-lo digitando no quarto trancado.

Se pelo menos houvesse uma forma desses funcionários possuírem um entendimento melhor de como funciona a segurança na empresa… mas aí também eles saberiam todos os seus segredos e qualquer um poderia tomar o seu lugar. Então, fique quieto, não sugira treinamentos ou seminários, não envie alertas, nem convoque reuniões. Isso é uma empresa, não uma escola!

Mantenha seu trabalho misterioso, a luz meio apagada na sua sala, procure se vestir como se estivesse em Matrix.

 

*não nos responsabilizamos por danos físicos, emocionais, materiais, espirituais que possam acontecer com você, seu currículo, os sistemas de sua companhia ou sua reputação na indústria. Olhares tortos, bilhetes mal-humorados e até demissões podem acontecer em virtude do uso desse guia. Se beber, não administre.

Você pode se interessar

Como evitar que a bateria do seu laptop gaste muito rápido
Dicas
Dicas

Como evitar que a bateria do seu laptop gaste muito rápido

Carlos L. A. da Silva - 18 de Janeiro de 2018

Ela sempre acaba quando você mais precisa? A culpa pode ser da tela.

Microsoft terá webinar gratuito sobre Data e AI
Notícias
5 visualizações
Notícias
5 visualizações

Microsoft terá webinar gratuito sobre Data e AI

Redação - 18 de Janeiro de 2018

Data & AI Summit é o webinar gratuito oferecido pela Microsoft no próximo dia 23.

O que é preciso saber para iniciar um curso de desenvolvimento mobile?
Artigos
5 visualizações
Artigos
5 visualizações

O que é preciso saber para iniciar um curso de desenvolvimento mobile?

Redação - 17 de Janeiro de 2018

Você está querendo entrar na área de desenvolvimento mobile, mas o que é preciso saber para iniciar um curso de programação mobile? Gustavo Torrente, vai nos dar algumas dicas.

Deixe um Comentário

Your email address will not be published.

Mais publicações

O que aconteceu com o Winamp?
Artigos
8 visualizações
8 visualizações

O que aconteceu com o Winamp?

Carlos L. A. da Silva - 15 de Janeiro de 2018
Promoções de Jogos do Final de Semana (12/01)
Notícias
11 visualizações
11 visualizações

Promoções de Jogos do Final de Semana (12/01)

Carlos L. A. da Silva - 12 de Janeiro de 2018