Vídeo: Elo Mais Fraco 16/03/2012 (Outubro 2024)
A conferência anual de segurança da informação da Black Hat está a apenas algumas semanas. Profissionais de segurança, executivos, fornecedores e hackers convergirão para Las Vegas para aprender e compartilhar as mais recentes vulnerabilidades, defesas, brechas de segurança e técnicas de hacking. Antes da conferência, a Black Hat divulgou os resultados de uma pesquisa que questionou os principais especialistas em segurança sobre suas preocupações e opiniões. Você pode ler vários significados para os resultados, mas minha opinião é a seguinte: você é o elo mais fraco. (Sim, eu quero dizer você.)
O pool de respondentes da pesquisa foi escolhido por especialização e experiência do mundo real. Dos 460 profissionais e gerentes de segurança, quase dois terços vieram de empresas com pelo menos 1.000 funcionários. Os cargos de mais de 60% deles incluem a palavra "segurança" e um quarto do grupo atua como gerente de segurança de sua organização. Essas pessoas estão nas trincheiras, trabalhando incansavelmente para manter a segurança de suas empresas.
Preocupações versus realidade
Grande parte da pesquisa apresentou aos entrevistados 15 ameaças e desafios à segurança. Eles foram convidados a marcar os três principais desafios que mais os preocupam, os três principais que ocupam seu tempo e os três principais que obtêm a maior parcela do orçamento. Logicamente, você pensaria que eles acompanhariam de perto; na prática, esse não é o caso.
A maior preocupação de todas, 57%, era a defesa contra ataques direcionados, tentativas sofisticadas de violar a segurança. No entanto, apenas 20% dos entrevistados relataram que se preparam e lidam com esses ataques a maior parte do tempo.
O próximo desafio mais preocupante envolveu phishing e outros ataques de engenharia social. Com 46%, está muito acima de todas as outras preocupações da pesquisa, exceto ataques direcionados. O melhor sistema de segurança do mundo não ajudará se uma mensagem fraudulenta convencer um de seus funcionários a desligá-lo, e a limpeza após esses problemas pode ser um verdadeiro problema. De fato, na medida em que os profissionais de segurança gastam seu tempo, duas das três principais preocupações envolvem erros humanos. As redes sociais são uma delas, mas o tempo mais alto é lidar com problemas de segurança introduzidos pelas equipes de desenvolvimento internas.
Outras preocupações, como a vigilância de nosso governo ou de outro, ataques internos e ataques digitais a dispositivos da Internet das Coisas (IoT), simplesmente não consomem o mesmo grau de recursos mentais ou financeiros. De fato, a despesa muito alta para os entrevistados da pesquisa envolve vazamentos acidentais de dados por usuários desleixados - pessoas, mais uma vez. Também entre as poucas preocupações dispendiosas, estão os erros humanos que tiram a empresa da conformidade e reparam os problemas causados pelos funcionários que se apaixonaram por ataques de engenharia social.
Vamos ficar mais espertos?
Os entrevistados também foram convidados a aceitar o mesmo conjunto de 15 desafios e escolher três que seriam as maiores preocupações daqui a dois anos. Curiosamente, todas as preocupações baseadas em pessoas foram muito mais baixas nesta lista. Os problemas de segurança introduzidos pelo desenvolvimento interno estão na parte inferior, com 7%. Em seguida, há erros que colocam a empresa fora de conformidade, com 8%. E o roubo de dados por especialistas maliciosos chega a 9%. As preocupações com a engenharia social permanecem significativas, mas não estão nem perto do topo.
Em dois anos, os especialistas (36% deles) consideram que os ataques à IoT serão a maior preocupação, seguidos por ataques direcionados (até 33% dos atuais 57%). Nenhuma das seis principais preocupações envolve erro humano. Parece que vamos ficar mais espertos!
Você é o elo mais fraco
Grande parte do restante da extensa pesquisa envolve equipes de segurança, contratação e crescimento na carreira, tópicos de menor interesse para aqueles que não estão diretamente envolvidos na comunidade de segurança. Você pode ler o relatório completo aqui.
Um ponto definitivamente merece atenção. Questionados sobre qual é o elo mais fraco da segurança de TI atual, os entrevistados colocam ameaças baseadas na Web, ferramentas de segurança que não se comunicam e vulnerabilidades de terminais no final da lista, cada uma recebendo apenas 3% dos votos. O que há no topo? Mais de um terço disse: "Usuários finais que violam as políticas de segurança e são facilmente enganados por ataques de engenharia social".
O relatório conclui que a maioria das organizações não possui equipe de segurança suficiente e não concentra o tempo e o orçamento da equipe nos problemas mais importantes. Considerando uma carreira em segurança? Seu futuro parece rosado! Mas você terá que descobrir como impedir que os funcionários inviabilizem seus esforços acidental ou preguiçosamente.
