Quase metade das equipes de TI autoriza funcionários a não atualizar softwares

Cerca de 25% dos funcionários brasileiros já reclamaram com a equipe de TI de suas empresas sobre atualizações em programas e sistemas em dispositivos corporativos. E mais de 40% tiveram autorização para negar a instalação de um software específico ou sistema operacional.

É o que revela um estudo da especialista em segurança Kaspersky divulgado nesta quinta (17). Dos 25% dos entrevistados no Brasil que reclamaram, 44% foram autorizados a pular as atualizações e 54% puderam escolher quais seriam feitas.

Segundo a empresa a constatação é grave em termos de proteção, já que atualizações costumam resolver bugs e vulnerabilidades e, por isso, têm papel importante na segurança corporativa. Essas brechas podem permitir que pessoas não-autorizadas obtenham acesso à rede da empresa ou a dados confidenciais.

Roberto Rebouças, gerente-executivo da Kaspersky no Brasil, diz em comunicado que a existência de versões antigas nos dispositivos corporativos cria elos fracos na segurança.

A pesquisa da Kaspersky, feita em parceria com a Savanta, foi conduzida em abril de 2021 com 15 mil entrevistados. A amostra incluiu 1.000 participantes de Alemanha, Espanha, França, Itália e Reino Unido; além de 500 entrevistados da África do Sul, Argentina, Austrália, Áustria, Brasil, Chile, China, Colômbia, Emirados Árabes, Estados Unidos, Holanda, Índia, México, Peru, Portugal, Romênia, Rússia e Turquia.

Todos os participantes usavam um computador, um smartphone e/ou um tablet para cuidar de assuntos pessoais ou de trabalho, e 76% deles estavam empregados.

Recomendações

Para evitar que cibercriminosos explorem as vulnerabilidades, a Kaspersky recomenda que os funcionários sejam educados sobre a importância de atualizações frequentes e sobre os riscos para a empresa. Também a criar políticas em sistemas de segurança para forçar a atualização, caso o funcionário não o faça depois de um período determinado.

Também recomenda ter soluções de segurança com tecnologias de detecção de malware por comportamento e prevenção de exploit (malware que explora vulnerabilidades). E manter uma rotina de treinamentos de conscientização em segurança para todos os funcionários para garantir que boas práticas sejam sempre aplicadas – como a atualização dos programas nos dispositivos corporativos.

Também é importante ter recursos de avaliação de vulnerabilidades e gerenciamento de correções (patches) para automatizar este processo e liberar a equipe de TI para tarefas mais estratégicas. Para sistemas legados e sem suporte (como o Windows 7) é recomendado que as organizações mantenham estes equipamentos em rede exclusiva (e separada da principal) e aplique medidas adicionais de proteção, como a criação de uma lista de processos permitidos com as funções que o equipamento poderá executar.

Qualquer outra tarefa de ver bloqueada por padrão (default deny).