As últimas manchetes estão cheias de notícias sobre violações de segurança em grandes empresas, incluindo empresas como Morrisons, Target e Kickstarter..

Conversamos com Catalin Cosoi, estrategista-chefe de segurança da Bitdefender, sobre se as empresas podem educar melhor sua equipe para ter mais segurança e como as estratégias de segurança podem ser simplificadas…

TechRadar Pro: A empresa poderia se sair melhor no que diz respeito à educação da equipe em termos de segurança de TI??

Catalin Cosoi: A empresa média não treina o pessoal geral em questões de segurança de TI e isso é mais ou menos como deveria ser. O treinamento deve ser restrito à familiarização com procedimentos de segurança relevantes para o trabalho, dos quais quanto menos houver, menos haverá para errar. A equipe de TI, por outro lado, deveria estar mais ciente da segurança.

TRP: Como o treinamento deve diferir em diferentes níveis do negócio? Todos os funcionários devem receber o mesmo nível de educação?

CC: De um modo geral, um atacante terá como alvo o "primeiro fruto" e procurará chamar a secretária do diretor, e não o próprio diretor - pelo menos não inicialmente. Um dos trabalhos de segurança de TI é garantir que os ganhos sejam igualmente baixos e que os ataques de "escalada de privilégios" sejam difíceis.

Dito isto, uma pequena dose de paranoia operacional incutida no pessoal-chave pode fazer maravilhas. Para dar um exemplo de por que a educação em todos os níveis é tão importante, o "hack" do HBGary só foi possível porque um administrador era um pouco confiante e aceito..

TRP: O que a Bitdefender considera ser a melhor prática quando se trata de educação de segurança de TI para empresas e seus funcionários??

CC: Identifique quem precisa ser educado e depois pense muito sobre o que você quer ensinar. Por exemplo, treinar pessoas para alterar suas senhas com frequência é bastante inútil, ao mesmo tempo em que mostra como os trabalhos de spear phishing podem ser úteis..

Tenha em mente que normalmente há uma tensão entre segurança e conveniência e um gerente intermediário sempre escolherá conveniência, a menos que o treinamento o tenha convencido de que é necessário tomar decisões de maneira consciente e que assumir riscos de segurança não é necessário. "livre".

TRP: A segurança de rede deve agora depender de mais do que apenas senhas após as recentes notícias de que os pesquisadores de Liverpool criaram um vírus de computador que pode se espalhar via Wifi?

CC: O potencial do vírus Chameleon de se espalhar pelas redes "como um resfriado comum" destaca a importância de ter procedimentos robustos de segurança administrativa em vigor; uma área que é negligenciada por muitos.

As organizações devem tomar medidas para garantir que a infra-estrutura crítica e os roteadores sejam protegidos contra isso, e ameaças e tecnologias de vírus semelhantes devem ser o elemento que faz a diferença.

Os roteadores e as redes domésticas estão, na verdade, além das habilidades de administração de TI da maioria das pessoas e, como tal, a necessidade de protegê-los não é registrada. É por isso que as senhas geralmente não são seguras o suficiente.

Para obter uma proteção real, a segurança e a manutenção devem ser simplificadas e automatizadas o quanto for humanamente possível. As coisas devem funcionar com segurança, porque a maioria das pessoas não tem tempo, inclinação ou motivação para se tornarem profissionais de segurança de rede..

TRP: O que são considerados padrões de ouro do setor no atual setor de segurança em nuvem?

CC: Apesar dos esforços do setor, os provedores de nuvem ainda precisam estabelecer uma estrutura padrão para orientar as interações entre empresas e provedores de serviços em nuvem..

Há várias organizações que ratificam propostas de padrões abertos e desenvolvem diretrizes de segurança na nuvem. A Cloud Security Alliance (CSA) fornece um dos conjuntos de práticas recomendadas mais compreensíveis do setor para computação em nuvem segura.

A CSA desenvolveu um padrão de conformidade conhecido como Matriz de Controle de Nuvem ou CCM, que descreve várias áreas da infraestrutura de nuvem, incluindo gerenciamento de riscos e ameaças à segurança..