Morador da Pituba e dono de uma empresa que também funciona no bairro há mais de uma década, Renato Carneiro é o que se pode chamar de um vizinho de sucesso: com uma extensa história de empreendedorismo recheada de insucessos e voltas por cima — que, inclusive, o levaram a publicar uma “autobiografia empreendedora” chamada Inquebrável – Empresas quebram, pessoas não —, finalmente obteve êxito ao enveredar para a área de Tecnologia da Informação (TI) e fundar a InovIT, empresa com 17 anos de história e clientela robusta espalhada por toda Salvador. Renato concedeu entrevista ao Pituba.net para falar de segurança digital, tema muito em voga numa época em que proliferam invasões e golpes online. Confira!
80% dos incidentes de segurança digital são causados pelo usuário final. Como você entende a necessidade de conscientizar o usuário? Geralmente, quando existe uma tentativa de invasão, é muito mais fácil que ela ocorra a partir de dentro da empresa do que de fora. É mais difícil explorar vulnerabilidades, por exemplo, de um firewall, que é um equipamento de proteção da internet para a rede local, do que explorar a ignorância digital e os descuidos dos usuários. Com o usuário é muito mais simples, pois ele já está dentro da rede. Muitas vezes é ele que abre a porta para o invasor. E é por falta de conhecimento; educação já é um problema para o nosso país no geral, mas, no nível digital, mais ainda. O brasileiro, quando compra um eletroeletrônico, quer ligar o aparelho sem sequer ler o manual. É algo cultural. Imagine ler boas práticas de segurança para usar, por exemplo, um aplicativo. Portanto o nosso desafio, como empresa de TI que atua, também, na área de segurança, é conscientizar o usuário, pois senão ele pode acabar abrindo a porta para um invasor.
O brasileiro, quando compra um eletroeletrônico, quer ligar o aparelho sem sequer ler o manual. Imagine ler [sobre] boas práticas de segurança
Como funciona esse processo educativo? Você presta serviços para empresas, mas como alcançar o usuário final dentro dessas organizações? Existem duas formas. A gente representa um software que faz essa trilha de aprendizado com vários cursos, simulando situações como phishing, que nada mais é do que a pescaria: você manda uma informação falsa para o usuário fingindo ser verdadeira para que ele tome alguma atitude que o invasor quer, como instalar um vírus ou roubar informações. A outra forma é, de fato, fazer palestras informativas. Mostrar como esses incidentes acontecem, como nunca acontece “do nada”, tem que haver sempre uma ação humana.
Pelo feedback que você tem dos clientes, qual é a principal brecha de segurança nas empresas hoje? Phishing é a principal. Hoje, você recebe SMS, e-mail, whatsapp, enfim, o invasor tem mil maneiras de chegar até você. A quantidade enorme de informações que os usuários lidam todos os dias faz com que eles fiquem dispersos demais. E nesse momento de distração é que o invasor entra. Você acaba colocando uma informação num lugar indevido ou algo assim, e depois que se dá conta: “por que é que eu caí nisso?”. E até pessoas experientes na TI às vezes caem. Os golpistas estão melhorando a cada dia que passa.
O golpista usa da persuasão e vai coletando informações. (…) A regra número um é: sempre desconfie
Onde é que o usuário comum, fora do ambiente corporativo, precisa se prevenir para evitar invasões e golpes? Hoje é muito comum a engenharia social, onde a pessoa usa apenas a persuasão e vai coletando informações. Você não clica em nada, não instala nada, mas vai passando as informações que o golpista pediu. Eles usam o desconhecimento do usuário, que acaba acreditando, e técnicas de neurolinguística, persuasão, etc.. Então a regra número um é: sempre desconfie. Tinha o golpe do Nubank, onde diziam que você fez uma compra indevida, tinha que acessar uma área de segurança, enfim, iam te colocando num fluxo de ações, sobrecarregando, e lá no final te pediam um pix pra “confirmar sua conta”. Então eles usam a fraqueza humana, digamos assim.
E quanto a tentativas de invasão (num e-mail ou conta bancária) sem a colaboração do usuário? Esse risco existe? Sim, mas aí são duas situações: pode ser uma falha do provedor do serviço, recentemente teve aí a do iFood, onde o usuário não tem o que fazer, ou foi explorada alguma fraqueza que o usuário poderia ter resolvido. É o caso de seguir algumas regras básicas como usar uma senha forte, esquecendo data de nascimento, “abc123”, essas coisas que são óbvias e facilitam muito uma invasão. Use pelo menos oito caracteres, misturando maiúsculas, minúsculas, números e símbolos. Também crie o hábito de trocar de senha com alguma frequência. Outro ponto que funciona muito é autenticação por duplo fator. É chato, sim; mas segurança, quanto mais você criar camadas, menos vulnerável você fica. Hoje a maioria dos serviços já tem autenticação de dois fatores. Sempre habilite isso.
E se, apesar de tudo, a pessoa cair num golpe ou tiver uma conta de e-mail invadida, por exemplo, o que fazer? Quando existe um acesso suspeito no e-mail ou algum outro serviço, primeiro troque sua senha, e, se for o caso, procure o provedor do serviço ou seu prestador de TI. Mas se houve dano financeiro ou alguém roubou seus dados, recomendo registrar ocorrência na Delegacia Virtual para evitar que alguém use essas informações. Já houve casos de gente pagar por crimes que não cometeu porque um golpista usou dados roubados para cometer fraudes.
