tente outra cor:
tente outro tamanho de fonte: 60% 70% 80% 90%

Como evitar os perigos dos pontos de Wi-Fi - Proteja os seus usuários

Especialistas em segurança dizem que os funcionários estão cada vez mais expondo informações pessoais e profissionais quando estão logados em redes WiFi, principalmente quando utilizam essa rede fora da empresa. Embora essas falhas ainda não fez grandes manchetes, com a crescente dependência do mundo corporativo em smartphones, netbooks, e outros dispositivos portáteis, é só uma questão de tempo, dizem os estudiosos.

Ryan Crumb, diretor de segurança da informação da PricewaterhouseCoopers Advisory Services, visualizou todos os tipos de informação recolhida a partir de pontos de acess, incluindo dados financeiros, informações sobre fusões e aquisições, entre outros dados sigilosos, que não poderiam ser visualizados por qualquer pessoa.

Precisamos tomar algumas medidas para proteger os nossos dados do perigo desses pontos de acesso, abaixo segue algumas dicas:

  • Estabelecer e aplicar políticas fortes de autenticação para dispositivos que tentam acessar redes corporativas;
  • Exigir que os funcionários utilizem uma VPN (rede privada virtual) corporativa quando fazem uma conexão com a rede e comece a trocar dados com outros funcionários;
  • Certifique-se que todos os dispositivos e aplicações de software estão configurados corretamente e seguros, e ter os patches mais recentes;
  • Garantir que as políticas de segurança bloqueie os funcionários transferir dados sensíveis em dispositivos móveis ou computadores não autorizados;
Crumb que trabalha auxiliando seus clientes a encontrar e corrigir falhas de segurança, diz que não é dificil encontrar e-mails sigilosos em hot spots, tanto dentro ou fora da empresa.
"Os hot spots são ótimos para cafés, mas as pessoas para conduzir seus negócios têm que compreender que é sua responsabilidade proteger-se" diz Marc Noble, diretor de assuntos governamentais pelo IS, uma organização sem fins lucrativos que educa e certifica profissionais de segurança da informação.
A maioria dos funcionários estão desinformados
Enquanto muitos técnicos estão cientes dos riscos desses acessos e o que é preciso para minimizá-los, os responsáveis pela segurança dizem que um funcionário não é tão bem informado, deixando valiosos dados vulneráveis.
"É um dificil desafio corrigir, porque os usuários querem ser móvel. Eles querem usar qualquer dispositivo para chegar a suas planilhas ou suas apresentações nesses hot spot", diz Crumb. "Mas tudo que é necessário é um computador portátil vulnerável manchar uma companhia inteira".
Crumb, como todos, diz que não é qualquer dispositivo particular que apresenta o problema e sim uma combinação de fatores que faz com que os hot spots torna-se problemático na proteção de dados.
Um problema é o ponto de acesso em si, não é apenas os  WifI,  mas mesmo com fios conexões de Internet que podem ser zonas de perigo.

"O perigo é o ponto de acesso público. O risco é estar na rede de alguém que você não controla", explica ele. "Quando você estiver em uma rede pública, é como estar na internet sem ser protegida. Você não sabe quem é seu vizinho."

Informações desincriptografadas que vão nessas redes públicas podem ser vistos por quem sabe olhar, diz Crumb. Além disso, diz ele, notebooks, smartphones e PDAs, pode falar com um outro nestes hot spot, mesmo quando os usuários não estão necessariamente procurando fazê-lo.

"Quando você compartilhar sua rede com alguém, as máquinas podem compartilhar uns com os outros, então você tem o risco de ser capaz de interceptar informações de alguém", diz Crumb.

Ataques de hackers

Os usuários também são vulneráveis a ataques hackers ", afirma John Pescatore, analista da Gartner. Nestes ataques, o hacker deliberadamente imita uma conexão legítima para interceptar a informação.
Em qualquer desses hot spot ", alguém poderia estar sentado ao seu lado fingindo ser o hot spot e enganá-lo" em conexão com ele, diz Pescatore. Isso não acontece freqüentemente, mas acontece, diz ele. O hacker pode então usar essa conexão para bisbilhotar o seu computador e puxar para fora não apenas dados, mas sua identificação de usuário e senha para ter acesso aos sistemas da sua empresa.



"Se ele é inteligente o suficiente para obter uma ID de usuário e senha, em seguida, que a pessoa é inteligente o suficiente para saber como usá-lo", acrescenta Bob Batie, CISSP-ISSEP, engenheiro sênior de garantia principal informação a Raytheon Co.

Os problemas potenciais apresentados pelos hot spots não são novidade para as equipes de segurança de TI corporativa. Mas
Brad Johnson, vice-presidente de SystemExperts, uma rede de empresa de consultoria de segurança baseado em Sudbury, Massachusetts, diz que a proliferação de hot spot tem empurrado o problema maior na lista de preocupações que eles têm para resolver.

"A realidade é que a proliferação de hot spots mudou a paisagem. Costumavam ser relativamente escasso. Agora você pode encontrar hot spots em qualquerr lugar diz ele.

As políticas empresariais precisam acompanhar o ritmo
 

No entanto, as políticas corporativas e as práticas muitas vezes não conseguem se equilibrar, Johnson diz:

"Eles não olham para ele como uma questão de hot-spot, mas como são nossos
funcionários supostamente para tratar os dados quando eles não estão nas nossas instalações da empresa?"
, explica ele. Assim,
enquanto as políticas pode proibir informações corporativas a ser transferidos para os computadores domésticos, por exemplo, pode não haver proteção suficiente para garantir que um funcionário não encriptou os dados na volta de um hotel para a empresa.
 
 Segurança Hot Spot

Mesmo que a conexão é segura, e-mail não é sempre automaticamente criptografados e dispositivos móveis não são automaticamente configurados para se conectar a VPN da empresa, quando em hot spots ", disse Johnson. Além disso, as opções de dispositivos móveis a segurança nem sempre são configurados corretamente, aumentando ainda mais sua vulnerabilidade.

Mas mesmo que ele possa identificar esses problemas com funcionários que utilizam os hot spot, isso não significa que há um reparo fácil, Johnson diz: 



"Não existe essa demanda irrefreável de pessoas para trabalhar a partir de seus próprios laptops ou smartphones. É o que chamamos de consumerização de TI", diz Pescatore. E que consumerização torna mais difícil para os fazer cumprir as políticas corporativas e as configurações desses dispositivos privados.

Custo também desempenha um papel, Batie diz. Sempre usando uma VPN fornece proteção, mas nem todas as empresas são grandes o suficiente para permitir uma VPN. E neste ambiente econômico, as empresas não estão ansiosos para adicionar custos - mesmo por razões de segurança - para os orçamentos já tensas, diz ele.

 
Fatores humanos, contam também

Eric J. Sinrod, sócio no escritório de São Francisco de advocacia Duane Morris LLP, que tem acompanhado este assunto, diz que muitas empresas precisam fazer mais para chegar à frente do potencial de problemas em hot spot.

"Existem algumas empresas que são bastante iluminados a tentar estar à frente da curva, e há outros que não são", diz ele. "E este número] [é uma espécie de área nova que está abrindo, e nós estamos provavelmente apenas no início de uma onda. Eu não sei se esta
questão foi percolada até a superfície de uma forma ainda maior
, mas se começar a ouvir mais e mais sobre incidentes, ele terá de ser resolvida. "

Batie não desconto loucura humana quando se trata de segurança em pontos críticos também.

"Eu acho que as pessoas podem erroneamente achar que suas informações não é tão importante, e o treinamento de segurança que está recebendo não é o muito bem visto", diz ele.

Isso nos traz de volta para os dados que Crumb foi espionado por hot spot. Ele
diz que os utilizadores têm de ter uma maior apropriação do potencial de problemas quando eles usam hot spots, mas tem que fazê-lo o mais fácil possível para eles utilizarem.

 
Por que é importante 
 
As empresas muitas vezes não percebem que os dados que foram comprometidos via hot spots, diz o analista do Gartner John
Pescatore.
Mas não há dúvida de que o custo de tais erros é significativo. Considere alguns destaques do "Custo de violação de dados", um estudo de 2009 da violação de 45 organizações que foi lançado em janeiro pelo lucro da Ponemon Institute e do patrocinador do estudo, o PGP.

De acordo com os resultados, o custo médio de organização de uma violação de dados foi de US $ 6,75 milhões em 2009, acima de 6650 mil dólares ao ano anterior. E o custo de uma violação de dados por registro comprometido foi de US $ 204, apenas ligeiramente acima de R $ 202 em 2008.

Cerca de 42% dos casos incluídos no estudo envolveu 2.009 erros de terceiros, 36% de todos os casos envolveram aparelhos perdidos ou roubados, incluindo laptops, enquanto 24% dos casos envolveu um ataque mal-intencionado ou criminal resultante da perda ou roubo de de dados.

Organizações implantou uma série de ferramentas para prevenir futuras violações, com 67%, utilizando programas de formação e de sensibilização, 58% adicionais com procedimentos manuais e controles, e 58%, expandindo seu uso de criptografia.

No entanto, em um estudo divulgado em março Ponemon baseado em respostas de 975 E.U. de TI e gerentes de negócios, analistas e executivos,
apenas 21% das organizações tinha uma estratégia de criptografia aplicada consistentemente através das suas organizações, 74% tiveram algum tipo de estratégia de criptografia.

"Ele não tem a ver com o dispositivo ou o fornecedor. O papel do provedor é fornecer o acesso irrestrito à Internet. E com que o acesso irrestrito vem perigo", diz Crumb. "Assim, o consumidor deve realmente tratar um ponto de acesso público como sujo."

 
O que pode fazer

As empresas podem evitar os riscos de um local de hot spot com autenticação forte, uma ligação automática a uma VPN e criptografia
automática, diz Crumb.
Eles também precisam de ser vigilantes sobre o gerenciamento de patches para todos os dispositivos utilizados para o trabalho, e instituir políticas e
procedimentos que garantem a TI mantém todos os dispositivos de trabalhadores devidamente configurado.

Outra possibilidade: cartões de 3G, que são "apenas conexões de banda larga direta", explica o consultor Johnson. Em outras palavras, um cartão de 3G é uma placa USB que faz a conexão com sua operadora. "Então eles são uma alternativa para um hot sport porque você pode usar seu cartão em qualquer lugar do ar a sua operadora oferece o serviço." Eles também são chamados de cartões de banda larga móvel.

Se esse caminho, a sua área de cobertura da operadora é um fator muito importante: Pode ser uma vantagem ou desvantagem com base em onde
normalmente trabalham e vivem e área de cobertura da operadora.
Ao longo do tempo, no entanto, "este é cada vez menos uma questão de como
as operadoras estão convergindo / fusão de forma que há um conjunto menor, mas maior cobertura", diz Johnson.

A maioria das operadoras broadband ter pacotes com preços fixos, portanto este é um custo adicional sobre o que geralmente é Wi-Fi gratuito. Pode valer a pena, embora, como Johnson diz, "Eu diria que um cartão de 3G banda larga seria mais seguro do que um hot spot porque é sob o seu controle e que você faça conexões diretas para a transportadora, em vez de [ir] através do hot spot infra-estrutura. "

Outra abordagem é que os grupos de TI "pode tomar a atitude pró-activa que,
sempre que estes dispositivos estão conectados em rede, que cada vez que há um ponto de contato dentro da rede corporativa, que pode verificar se está configurado corretamente", diz Johnson.

Configuração
do usuário final de máquinas e dispositivos a serem rastreados a cada vez que se conectam à rede corporativa não causar um atraso para os funcionários que estão esperando para ter direito ao trabalho, Johnson admite, mas diz que é um atraso de apenas "segundos" e acrescenta que
Esta é parte da educação de TI deve se envolver com os usuários. Ainda assim, acrescenta, "é o preço que uma empresa está disposta a pagar - ou não pagar seus funcionários - para garantir um ambiente mais seguro na rede."

A chave para garantir que os hot spots não sugam dados cruciais e levar ao tipo de infração que faz com que o noticiário da noite é automatizar as medidas de segurança, tanto quanto possível, Crumb acrescenta.

"É como o telefone, a segurança deve apenas acontecer", diz ele. "Então as coisas mais ele pode fazer para garantir que apenas acontece, você vai ser mais bem sucedida no final."

Responder

  • Endereços de páginas de internet e emails viram links automaticamente.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Linhas e parágrafos quebram automaticamente.

Mais informações sobre opções de formatação