Cibersegurança deixou de ser um assunto confinado às mesas, corredores e espaços de café das áreas de tecnologia das organizações já faz algum tempo. Empresas que ainda não entenderam isto, sofrem as consequências desta falta de sincronismo com as demandas criadas pela maior exposição ao mundo da internet.
A internet é uma via maravilhosa para viabilizar negócios, integrações, parcerias e outras funcionalidades e facilidades que alavancam o crescimento dos negócios, melhoria na eficiência e impacto positivo nos resultados, mas cobra das organizações maior disciplina no uso desta via.
Conscientizar os colaboradores de uma organização é fundamental para que o nível de proteção possa ser elevado. Isto não garante que uma empresa esteja isenta de um evento de cibersegurança, mas pode proporcionar um menor nível de risco e dificultar um pouco as coisas para os cibercriminosos.
Educar os colaboradores sobre os diferentes tipos de riscos e ações para evitá-los ou minimizar a possibilidade de comprometer ativos e aplicações da organização pode reduzir significativamente seu grau de vulnerabilidade.
As empresas são organismos vivos e, como tal, precisam de atenção constante. Organizações crescem e modificam-se, modelos de negócio adaptam-se ao mercado e demandas sazonais, novas parcerias surgem exigindo novas integrações e, tudo isto ainda é impactado pelo processo constante de busca de ganho de eficiência de processos.
Não vamos entrar em detalhes sobre as mudanças provocadas por regulamentações de cada setor, ou seja, estar em compliance com as demandas regulatórias gera novos movimentos e adaptações. Todo o que foi mencionado até aqui afeta sistemas, aplicações, processos operacionais e, consequentemente, podem abrir portas a novas vulnerabilidades.
Soma-se a tudo isto o fato de que as técnicas de ataque utilizadas pelos cibercriminosos estão sempre em evolução, buscando novos modos e caminhos de comprometer o ambiente de tecnologia de uma empresa e, com isto, buscar vantagens financeiras.
Como todas estas mudanças e adaptações provocam alterações na organização, é razoável supor que as mesmas também provocam alterações no grupo de colaboradores e no modo como cada um deles executam suas funções, reforçando o conceito de um organismo vivo. É preciso reciclar os conhecimentos das pessoas sobre os riscos e vulnerabilidades a que uma organização está sujeita no seu dia-a-dia.
Treinar, treinar e treinar é a alternativa mais viável, se não for a única.
O processo de conscientização de uma organização deve ser cíclico e seguir um programa de treinamento bem estruturado, periódico, e envolver todos os colaboradores. Dependendo dos processos e integrações com parceiros e fornecedores, as organizações devem também preocupar-se com a conscientização destes agentes importantes para seu negócio.
Estudos mostram que 60% das violações de dados de uma organização são originadas de ameaças internas. Isto quer dizer que são usuários legítimos, com acessos a dados e informações internas que, de algum modo, provocam a falha na segurança.
Apesar de uma pequena parte destes casos seja intencional, pessoas que tentam roubar dados por alguma motivação ilícita, a maioria acontece por falta de atenção dos colaboradores. São colaboradores que, por exemplo, clicam em links, anexos suspeitos ou acessam sites falsos e acabam divulgando suas credenciais inocentemente ou permitindo a entrada de um malware no ambiente.
Alguns pontos podem ser priorizados e enfatizados para que a conscientização sobre cibersegurança seja realidade na organização. São eles:
Segurança deve ser parte da cultura
Na cultura da organização, deve estar enfatizado que cibersegurança é uma responsabilidade de todos e que a proteção de dados e informações deve ser tratada como prioridade.
Defina políticas de segurança
Defina, publique e revise periodicamente as políticas de segurança de dados da companhia.
Os colaboradores devem conhecer claramente quais são as políticas da companhia sobre este tema e, a partir delas, moldarem seu comportamento diário para que estas políticas sejam cumpridas. Isto ajudará na criação da cultura de segurança.
Informe regularmente sobre riscos
As técnicas de ataque utilizadas pelos cibercriminosos evoluem constantemente, gerando novas maneiras de tentar comprometer os usuários. Isto deve ser informado regularmente para os colaboradores, apresentando as novas técnicas de forma simples e didática, com exemplos de como agir para evitar ser enganado e comprometer o ambiente da organização.
Lembre-se que a maioria dos colaboradores não possuem conhecimento técnico sobre o tema, portanto seja direto e forneça informações de fácil absorção.
Treine periodicamente
Como já bastante comentado, as organizações modificam-se e, portanto, o treinamento sobre cibersegurança deve ser abrangente e prático. Os colaboradores devem aprender a reconhecer ameaças, como ransomware, phishing e malware, e como responder a elas.
Realize simulações de ataques
Efetue simulações de tentativa de ataque para comprometer um usuário. Replique uma técnica conhecida de ataque e meça o nível de atenção e resposta dos colaboradores. Isto pode dar uma ideia da efetividade do treinamento que está sendo realizado e ajudar a corrigir e melhorar este processo na organização.
Obs.: Use os resultados da simulação para demonstrar aos colaboradores o nível de risco e comprometimento/impacto que um ataque bem sucedido pode trazer a organização.
Proteja os acessos
Os sistemas de identificação e senhas vêm evoluindo constantemente, e hoje a oferta de soluções com grande nível de integração e segurança estão disponíveis. Utilizar soluções de dupla autenticação (MFA) é extremamente recomendado.
Porém, caso a organização ainda não tenha evoluído a este ponto, estabeleça alguns requisitos mínimos em um processo de gestão de senhas. A atualização das senhas deve ser periódica para todos os sistemas da organização, não permitindo a reutilização da mesma senha para diferentes sistemas.
Não permita senhas com poucos caracteres (menos de 8) e de baixa complexidade. Treine os colaboradores em relação a proteção de suas senhas individuais de acesso aos sistemas e contas de e-mail.
Comunicar incidentes
Incentive os colaboradores a relatar eventuais incidentes ou tentativas de quebra de segurança. Isto reforçará a importância que a organização trata este tema, como ela busca reforçar as defesas implementadas e toma ações de mitigação de impactos. Além disso, mostrará aos colaboradores que o foco da organização é com a proteção dos dados, e não identificar falhas individuais.
Segurança física
A segurança física é tão importante quanto a segurança digital. Os colaboradores devem ser instruídos a manter seus dispositivos seguros e protegidos, especialmente quando estão fora do escritório. Eles também devem ser instruídos a não deixar informações confidenciais em locais públicos.
Atualizações de software
Os aplicativos e softwares utilizados pelos colaboradores normalmente precisam ser atualizados para que as últimas correções relacionadas à segurança sejam implementadas. Instruir os colaboradores para que efetuem as atualizações assim que estiverem disponíveis pelos canais oficiais é uma boa prática.
Obviamente estas dicas não esgotam o assunto, mas podem ajudar na orientação de algumas atividades e preocupações que a organização precisa observar quando tratamos de segurança cibernética.
É importante que a organização personalize e analise suas necessidades específicas, de modo a garantir que todos os funcionários estejam cientes dos riscos de segurança e saibam como se proteger. Conscientização é o segredo para um ambiente mais seguro.