De nada adianta comprar uma peça de última tecnologia se a pessoa que irá utilizar não sabe como trabalhar com a peça. Essa é uma frase que resume bem a relevância do apoio dos colaboradores para a Segurança da Informação em qualquer empresa, pois não basta implementar controles tecnológicos, a sensibilização do papel de cada um e o conhecimento das pessoas é determinante na proteção da informação.
Segundo o relatório da Verizon, que analisou incidentes e violações ocorridas entre os dias 1º de novembro de 2021 e 31 de outubro de 2022, 74% das violações de segurança da informação envolveram o elemento humano, o que inclui ataques de engenharia social, erros ou uso indevido.
Os dados da empresa americana de telecomunicações reforçam que mesmo se a companhia tiver um firewall eficiente, as especificações da ISO, o descuido das pessoas (como, por exemplo, sair da mesa de trabalho e deixar a tela aberta) pode permitir que dados sejam vazados.
O Estudo Global de Segurança em Nuvem da Thales, que entrevistou quase 3 mil profissionais de TI e segurança em 18 países, também corrobora com esta tese. O levantamento de 2022 apontou que o erro humano foi a principal causa de violações de dados na nuvem, com 55%.
Entre as violações que incluem o elemento humano, isto é, com pessoas envolvidas através de erro, destaca-se o uso indevido de privilégios, uso de credenciais roubadas ou engenharia social.
Uma das principais dificuldades para garantir a segurança das empresas está no fato de que, frequentemente, os colaboradores têm uma percepção equivocada de segurança. Isso ocorre porque muitos assumem que não serão alvo de ataques cibernéticos, seja porque não se consideram alvos atrativos para criminosos ou porque subestimam o valor das informações armazenadas em seus dispositivos. Como resultado, muitos usuários acabam descuidando facilmente do ambiente digital em que trabalham.
O ser humano naturalmente é dotado de emoções e instintos, e os criminosos digitais sabem muito bem como explorar esses pontos. Um e-mail persuasivo, que desperte emoções (como uma solicitação de pagamento, uma oferta de prêmio ou uma ameaça), é suficiente para levar um usuário desprevenido a se tornar vítima de um ataque de phishing ao clicar em um link ou abrir um arquivo contendo malware.
As discussões sobre segurança são uma maneira eficaz de mantê-la como prioridade, fazendo com que todos colaboradores se envolvam e entendam como podem contribuir. Para que isso aconteça, as empresas devem facilitar as perguntas e estar abertas para receber questionamentos e sugestões que possam colaborar. Materiais educativos, como posters e lembretes, também são ferramentas simples que ajudam a manter o tema sempre presente no ambiente de trabalho.
Como atenuar o erro humano?
Nós, seres humanos, carregamos maus hábitos de interação com a tecnologia que prejudicam, não apenas a nós mesmos, como também às empresas. E, por mais cuidado que tenhamos, vamos continuar errando. No entanto, é possível criar estratégias para reduzir e atenuar a vulnerabilidade.
Elas precisam estar em constante comunicação com seus colaboradores, a fim de implementar uma rotina de sensibilização. Isto deve ser permanente, até porque, a natureza dos ataques e técnicas empregadas pelos hackers e criminosos mudam constantemente.
Criar políticas de segurança da informação efetivas, aderentes à realidade de cada negócio é uma das ações que as empresas devem adotar. Além disso, monitorar, de maneira constante, o cumprimento das políticas de segurança e investir em ferramentas e tecnologias, sempre que possível, de automatização das políticas de segurança, são outros pontos que necessitam atenção.
Todas as organizações necessitam adotar uma cultura organizacional de nunca subestimar os riscos e as chances de falhas em qualquer que seja o meio ou contexto envolvido. A preocupação deve começar com a introdução de um programa de treinamento e capacitação contínua de colaboradores.
Por fim, mas não menos importante, elas devem buscar sempre uma visão externa com a finalidade de avaliar a eficiência das políticas, controles e tecnologias implementados. Por exemplo, procurar por consultorias para análises de vulnerabilidades, avaliação de riscos, revisão de políticas, testes de penetração, entre outros.
Sempre alerta
As falhas humanas acontecem por motivos diversos, como: habilidade (com falhas durante a realização de tarefas) e de decisão (o funcionário escolhe a opção errada intencionalmente). Estes equívocos são influenciados por fatores externos (como a situação e o ambiente em que ele está inserido) e a falta de conscientização.
As organizações precisam entender a necessidade de realizar a capacitação dos colaboradores, em todos os aspectos de segurança que possam surgir durante suas atividades cotidianas. Questões que vão desde o simples uso de senhas e e-mail devem ser levantadas em um treinamento que também seja atrativo.
Não basta apenas despejar o conteúdo, de uma maneira que os trabalhadores não irão absorver e adotar. Eles precisam ter a consciência de que os procedimentos apresentados devem ser repetidos regularmente e constantemente.
Estar inerte diante de um cenário de constantes mudanças não é razoável para nenhuma organização. Ainda há a reflexão de que todo CEO e a alta direção das organizações devem considerar diante do cenário dos dias atuais: não se trata sobre quem será atacado, e sim, quando seremos atacados.
