O recente caso de ataque à Sony Pictures nos oferece uma série de lições valiosas sobre Segurança da Informação, todas as empresas podem aprender algo do incidente e utilizar a seu favor. A Sony Pictures cometeu uma série de erros primários que resultaram num dos maiores ataques da história. É interessante perceber que algumas vezes a preocupação é tão grande com questões mais complexas que a falha acaba ocorrendo nas mais triviais, como, por exemplo, armazenar uma pasta chamada “senhas”.

Confira a seguir 5 lições a serem aprendidas com o incidente da Sony Pictures:

  1. Evite utilizar e-mail para comunicações confidenciais e sensíveis

Se você se pergunta o motivo dessa lição é porque não leu os e-mails que os hackers roubaram da Sony Pictures e divulgaram desde o final de 2014. Esses e-mails se juntam a muitos outros vazados ao longo dos anos, de diversas empresas e órgãos públicos, alguns comprometedores, outros constrangedores e pessoais. Os e-mails inclusive pesam contra a Sony, que já está recebendo ações na justiça americana por responsabilidade no vazamento. Uma das evidências que apontam a falta de segurança da empresa é um e-mail crítico de um auditor de TI, que foi compartilhado internamente sem a devida criptografia, o conteúdo do e-mail dizia respeito à infraestrutura da Sony.

De forma resumida, podemos dizer que o e-mail, sem a devida encriptação não é algo seguro. É essencial que os usuários críticos, como diretores, gestores e pessoal envolvido com infraestrutura e outras informações sensíveis por exemplo, contem com um serviço de criptografia tanto para mensagens recebidas quanto para mensagens enviadas. Esse procedimento pode reduzir muito os danos no caso de um vazamento de dados.

  1. Não dê acesso de tudo para todos

Essa é uma regra básica, mas que precisa ser relembrada a todo momento: classifique seus documentos e segmente a sua rede. A Sony poderia ter diminuído o dano se classificasse alguns documentos como secretos e adotasse políticas específicas de segurança para esses documentos, como por exemplo, os contratos com atores e diretores. Muitas empresas acabam incrementando a rede de forma que ela seja mais conveniente possível para o usuário, o que acaba concedendo acesso de qualquer coisa para qualquer um. Infelizmente, isso também significa fácil acesso para atacantes caso eles descubram alguma vulnerabilidade no seu perímetro.

As redes precisam ser segmentadas, com controles de acesso para limitar quem pode acessar o que. A Target teve que aprender essa lição do jeito mais difícil ano passado, quando os criminosos descobriram que era possível partir de uma rede destinada a terceirizados até chegar aos terminais de pagamento de cartão nas lojas. Esse é um bom momento para você auditar sua rede, verificar conexões indevidas e acesso não filtrado.

  1. Não armazene senhas em uma pasta chamada “senhas”

Essa lição é óbvia até para a vovó que aprendeu a usar o computador há alguns meses, mas ainda sim uma empresa gigante caiu nesse erro primário. Todos nós sabemos que lidar com várias senhas é algo desagradável, mas existem métodos seguros para se lidar com grande quantidade de senhas. Esse ponto será uma das maiores fraquezas da Sony quando enfrentar as ações movidas contra a empresa devido ao vazamento de dados.

  1. Não ignore alarmes e riscos

Se algo parece errado, não ignore. Algumas vezes pode não ser nada, um falso positivo, contudo, outras vezes pode ser que você esteja sofrendo um ataque. Vários segmentos da Sony já tinham sofrido ciberataques anteriormente, de forma que a segurança já deveria ser uma prioridade para o TI da Sony.

Um dos projetos de 2014 envolvia o lançamento de um filme, que contém uma cena em que um dos ditadores mais perigosos do mundo, com capacidade comprovada de conduzir ataques cibernéticos, têm sua cabeça explodida. Esse é um risco que poderia ser calculado, a empresa, nesse caso, deveria ter se preparado para receber uma série de ataques da Coréia do Norte e de grupos extremistas.

  1. Não fique nem mais um dia sem um plano de resposta a incidentes

Quando as notícias do vazamento começaram a pipocar na imprensa a Sony Pictures demonstrou uma completa falta de planejamento. As ações tomadas foram contraditórias ou pioravam a situação. Em resumo, claramente houve a falta de um planejamento de resposta a incidentes. Qualquer empresa responsável terá um plano bem delineado para lidar com essa situação, tanto para diminuir os danos quanto para prejudicar menos a imagem com o público.

sony-pictures-lessons-623x420