Sobre o Incidente de Segurança com a Globo/Globoplay

Views: 638
0 0
Read Time:2 Minute, 56 Second

Hoje gostaria de compartilhar alguns pensamentos e lições que tiro sobre o incidente que ocorreu no final de semana com a plataforma de streaming Globoplay, com o pouco que concluí após ler a nota divulgada pela empresa.

Quando uma empresa contrata outra empresa fornecedora, muitas vezes esta passa a ser uma extensão da contratante, pois realiza trabalhos representando a marca ou o nome de quem a contratou. Há uma relação comercial e de confiança que é estabelecida. Em sua nota, a Globo deixou claro que o problema ocorreu em um sistema de push “gerenciado por empresa parceira”. A lição que tiro disso é que quem eu contrato para realizar um serviço que represente minha empresa ou minha marca, deve estar no mínimo compatível com as práticas e políticas de segurança que são observadas na minha empresa.

Então, em tempos de “transformação digital”, a escolha do fornecedor deve ir um pouco além da avaliação técnica, do preço, dos cases e de quem indicou. Vale a pena conversar bastante, entender a maturidade de segurança do candidato a fornecedor, os processos, a política e eventualmente até trazer isso pra dentro do contrato (pessoal do direito por favor opinem). Caso contrário, é como se eu estivesse abrindo mão do meu esforço de segurança. É como se eu blindasse meu carro e andasse por aí de vidros abertos.

“O incidente se limitou a um sistema periférico e a uma única conta, já identificada e eliminada”. Nesse trecho eu presumi (posso estar equivocado, mas é o meu palpite) que os hackers conseguiram obter uma credencial legítima para entrar no sistema de push notifications. Pode ter sido via phishing, via uma das bilhões de credenciais já vazadas na internet, uma senha fácil, etc. O relevante aqui é que as PESSOAS (como eu e você) são também “vetores” utilizados por criminosos para ganhar acesso indevido à sistemas.

É um erro assumir que a segurança está OK se não temos a menor ideia de como se comportam as pessoas que possuem acesso a um sistema e seus dados. Quantos celulares e computadores estas pessoas utilizam? Será que estão todos atualizados e com um bom antivírus? E as redes wifi que os usuários se conectam ao fazer sua atividade profissional? Será que as pessoas que usam nossos sistemas usam senhas difíceis, não as repetem por aí e nem as compartilham? Que horários eles costumam acessar nosso sistema? Estas são perguntas que compõem parte do perfil comportamental dos usuários. Com essas respostas em mãos é possível criar meios para melhorar muito a segurança de credencias e do processo de autenticação e minimizar as chances de um incidente como esse que ocorreu.

Pode parecer complexo, caro e longe da realidade da maioria das empresas, mas não é. Há soluções acessíveis e até gratuitas no mercado com integrações prontas e assim elevar com inteligência o nível de segurança dos nossos sistemas, aplicações, blogs, etc.

Importante ressaltar que independente do tamanho da organização, devemos encarar a segurança digital como uma prática contínua, e não meramente como um departamento e um conjunto de “coisas”, softwares e serviços que contratamos seja por compliance, por tendência de mercado ou por obrigação. As falhas humanas ainda são grandes causadores dos problemas, e as vezes mudança de atitude gera mais resultado do que grandes e modernas aquisições.

Vamos procurar abordar e difundir a segurança como um aliado para que as empresas atinjam seus objetivos e não como mais uma despesa em algo difícil, chato e caro.Denunciar

AUTOR: Rafael Barbosa da Silva

FONTE: LINKEDIN

POSTS RELACIONADOS