Cerca de 25% dos funcionários brasileiros já reclamaram com a equipe de TI sobre a necessidade ou a frequência das atualizações de programas em seus dispositivos corporativos. Surpreendentemente, mais de 40% tiveram autorização para negar a instalação de um software específico ou sistema operacional. Estas são algumas das conclusões da campanha “Dor de Cabeça” da Kaspersky, que estuda o comportamento dos usuários durante a atualização de seus dispositivos.
Além de trazerem novas funcionalidades e resolver bugs no sistema, as atualizações tem papel importante na segurança corporativa: a correção de vulnerabilidades. Essas brechas em programas ou sistemas operacionais permitem a pessoas não-autorizadas obter acesso à rede da empresa ou a dados confidenciais das organizações.
Neste contexto, é preocupante que as equipes de TI autorizem funcionários a manter sistemas desatualizados. Dos 25% dos entrevistados no Brasil que reclamaram das atualizações, fez-se dois questionamentos adicionais: se foram autorizados a pular as atualizações (44% sim); e se puderam escolher quais atualizações seriam feitas (54% puderam escolher).
Roberto Rebouças, gerente-executivo da Kaspersky no Brasil, explica que, ao permitir a existência de versões antigas nos dispositivos corporativos, as equipes de TI acabam criando elos fracos na segurança das organizações – é como ter uma corrente com um elo remendado e usar uma abraçadeira de nylon para evitar a substituição da corrente.
“Para quem não lembra, a epidemia do WannaCry, ransomware que explodiu em 2017 e gerou perdas de $ 4 bilhões de dólares em 150 países, teve sua disseminação massiva por causa de uma vulnerabilidade – que tinha correção, mas poucas empresas haviam instalado. Quatro anos depois, nosso relatório de ransomware mostra que esta ameaça ainda representa 16% das detecções em 2020. A razão do Wannacry ainda ser popular é porque as empresas estão com seus portões usando a corrente quebrada com uma abraçadeira de nylon – significa colocar uma placa “seja bem-vindo ladrão”, explica Rebouças.
O executivo ressalta que segurança de alto nível é feita em camadas e cada peça precisa ser forte para que a proteção final seja sólida.
Dicas para segurança de sua empresa
- Eduque os funcionários sobre a importância de atualizações frequentes e explique os riscos para a empresa caso os cibercriminosos explorem essas falhas.
- Crie políticas em seu sistema de segurança para forçar a atualização, caso o funcionário não o faça depois de um período determinado.
Tenha uma solução de segurança com tecnologias de detecção de malware por comportamento e prevenção de exploit (malware que explora vulnerabilidades). Com elas, há a possibilidade de detectar e bloquear golpes que exploram vulnerabilidades desconhecidas (0-day). - Mantenha uma rotina de treinamentos de conscientização em segurança para todos os funcionários para garantir que boas práticas sejam sempre aplicadas – como a atualização dos programas nos dispositivos corporativos.
- Ative o recurso de avaliação de vulnerabilidades e gerenciamento de correções (patches) para automatizar este processo e liberar a equipe de TI para tarefas mais estratégicas.
- Para os sistemas legados e sem suporte (como o Windows 7), é recomendado que as organizações mantenham estes equipamentos em rede exclusiva (e separada da principal) e aplique medidas adicionais de proteção, como a criação de uma lista de processos permitidos com as funções que o equipamento poderá executar. Qualquer outra tarefa será bloqueada por padrão (default deny).