Conforme a tecnologia evolui, nossa vida se torna mais fácil e os negócios mais eficientes. Essa é a boa notícia. Agora, a má notícia é que, quanto mais dependemos da tecnologia, mais aumentam as chances de crimes cibernéticos.
Felizmente, os especialistas em segurança cibernética de todo o mundo criaram diversas soluções comprovadas para interromper os esforços dos hackers, como software antivírus e autenticação bifatorial. No entanto, embora essas ferramentas existam, elas dependem de pessoas para fazê-las funcionar e garantir que funcionem conforme as instruções. Portanto, a segurança é tão eficaz quanto as pessoas que a empregam e, por causa disso, é natural haver erros e vulnerabilidades.
Nem precisamos dizer que ainda se pode melhorar muito quando se trata de pessoas e de sermos eficazes com a segurança cibernética. Vejamos alguns problemas e algumas soluções.
Qual é o fator humano?
Como seres humanos, estamos propensos a cometer erros, mas quando se trata de segurança, um pequeno erro pode levar a uma grande violação de dados, e isso acontece muito. Estudos comprovam que 46% dos ataques de hackers e incidentes de segurança cibernética foram resultado de descuido ou falta de treinamento. É um número surpreendente, mas pode ser apenas a ponta do iceberg, pois também é relatado que em 40% das empresas no mundo os funcionários admitiram não reportar um incidente de segurança quando ele acontece.
Então, por que os funcionários são responsáveis por tantas violações de segurança? Eles são preguiçosos? Eles simplesmente não se importam? Embora a resposta não seja tão direta assim, esses fatores podem influenciar inconscientemente o fato de eles não reportarem.
É provável que eles simplesmente não entendam a gravidade de uma ameaça cibernética e como ela pode impactar gravemente a empresa e, provavelmente, o emprego deles. Faça uma reunião com os funcionários para discutir a importância de estar atento e explicar as possíveis repercussões de uma violação. Relatórios recentes informam que o custo médio de uma violação de dados em 2020 é de US$3,86 milhões, sem considerar o impacto na reputação da empresa. Algumas empresas podem até não se recuperar depois disso, portanto, exponha os fatos a eles, e talvez eles prestem mais atenção.
Quanto ao aspecto da preguiça e de não quererem denunciar os incidentes, talvez eles não saibam como fazê-lo. Defina um e-mail genérico ou uma linha telefônica onde os clientes possam relatar facilmente atividades suspeitas e fornecer capturas de tela para que a equipe de TI consiga agir imediatamente.
O segredo é o treinamento
O que muitos consideram falta de cuidado pode, na verdade, ser uma falta de treinamento em relação aos golpes atuais e aos sinais de alerta. O treinamento dos funcionários é essencial para que fiquem alerta durante o dia de trabalho. Conforme a dependência da tecnologia cresce, aumentam também os ataques cibernéticos. Portanto, se eles souberem o básico, também poderão capturar a ameaça mais recente.
Em alguns casos, os funcionários talvez até saibam o que precisam fazer, mas não como fazê-lo adequadamente. Portanto, instrua-os sobre o uso da senha. Em vez de uma senha simples, use uma que incorpore uma mistura de letras, números e caracteres especiais. Além disso, instrua-os sobre a autenticação bifatorial, para que tenham uma camada extra de proteção não apenas nos computadores de trabalho, mas também nos dispositivos pessoais, especialmente se forem usados no trabalho.
Grande parte desse treinamento deve envolver ataques de engenharia social, que representam cerca de 98% de todas as penetrações de segurança cibernética. Esses truques de hackers são projetados para tirar vantagem das emoções ou da curiosidade das pessoas para abrir uma porta de entrada para nossos sistemas. Os funcionários precisam ser avisados sobre essas ameaças comuns, ou então podem ser facilmente enganados e cair nelas. Lembre os funcionários de que não devem cair em ataques de engenharia social, como isca. Se encontrarem uma unidade USB por perto, não devem carregá-la, mesmo se isso ocorrer dentro do escritório. Em vez disso, deve-se levar a unidade de USB ao RH.
Outra ameaça comum é o esquema de phishing, em que os hackers enviam e-mails fraudulentos que parecem ser de uma autoridade como a Receita Federal ou mesmo de alguém do RH ou do CEO. Os funcionários de escritório recebem centenas de e-mails todos os dias, então pode ser fácil para alguém com pressa clicar acidentalmente em um link ou anexo malicioso na mensagem. Esse simples clique abre caminho para hackers roubarem dados corporativos.
Assim que o treinamento for concluído e eles estiverem cientes dos sinais, peça a todos os funcionários que assinem um memorando tornando obrigatório que divulguem à parte adequada as ameaças cibernéticas que vejam.
Orientação para o uso de dispositivos pessoais
Se há algo que 2020 e a COVID-19 nos mostraram é que a mudança do trabalho em um escritório para o trabalho remoto é mais fácil do que se pensava. Agora, muitas empresas têm toda a sua força de trabalho em casa ou em locais públicos e, em muitos casos, usam os próprios dispositivos pessoais, criando um novo conjunto de possíveis erros humanos. Além das ameaças abordadas nas sessões de treinamento, telefones celulares e tablets pessoais também podem ser facilmente perdidos ou esquecidos, e se isso resultar em uma violação de dados, a culpa será do ser humano.
A primeira coisa que sua empresa deve fazer é definir uma regra sobre o uso de dispositivos pessoais para trabalho. Se não for permitido, escreva essa regra, peça-lhes que assinem a documentação e arquive os documentos para o caso de o acordo ser violado. Se for permitido o uso de dispositivos pessoais ou móveis, eles tem que ser equipados com as medidas de segurança necessárias, incluindo proteção por senha e criptografia de dados, e devem ser monitorados pelo departamento de TI.
Além de serem perdidos, os dispositivos móveis também podem ser facilmente prejudicados por redes Wi-Fi falsas que são configuradas por hackers em estabelecimentos públicos e feitas para se parecer com a rede autêntica. Depois que o funcionário se conecta à rede falsa, o acesso a dados confidenciais pode ser obtido facilmente. Se os funcionários precisarem trabalhar em locais públicos, estabeleça regras rígidas e rápidas, como permitir que trabalhem somente offline ou usando uma rede privada virtual.
Já não é nenhum segredo. Os hackers são um bando astuto e estão sempre inventando novas maneiras de invadir nossos sistemas. Ao reduzir o erro humano por meio da instrução, sua empresa consegue limitar os possíveis pontos de violação e continuar prosperando.
Observação: Este artigo de blog foi escrito por um colaborador convidado com o objetivo de oferecer uma variedade maior de conteúdo para nossos leitores. As opiniões expressas neste artigo do autor convidado são exclusivamente da responsabilidade do colaborador e não refletem necessariamente as da GlobalSign.