Quase 50% dos incidentes de segurança são causados pelos próprios funcionários
1617
Relatório da Kaspersky Lab mostra que 52% das empresas admitem que suas equipes são o elo mais fraco em sua segurança de TI
Quando ocorre um incidente de segurança de TI, os funcionários não são sinceros — eles tendem a esconder os problemas para evitar punições. Cerca de 46% dos incidentes são causados pelos próprios funcionários, o que gera uma fragilidade nas empresas que deve ser resolvida em vários níveis, não apenas pelo departamento de segurança de TI.
A constatação é do novo relatório da Kaspersky Lab e B2B International, “O Fator Humano na Segurança de TI: Como os funcionários tornam as empresas vulneráveis de dentro para fora”. O documento cita funcionários desinformados ou descuidados como uma das causas mais prováveis dos incidentes de segurança virtual — só perdem para o malware. Embora os malwares estejam se tornando cada vez mais sofisticados, a triste realidade é que o eterno fator humano pode representar um perigo ainda maior.
Em particular, quando se trata de ataques direcionados, o descuido dos funcionários é uma das maiores brechas na blindagem da segurança virtual corporativa. Embora os hackers modernos possam usar malware sob medida e técnicas de alta tecnologia para planejar um roubo, é provável que comecem explorando o ponto de entrada mais frágil: a natureza humana.
Segundo a pesquisa, um terço (28%) dos ataques direcionados sobre empresas no último ano começou com o phishing/engenharia social. Por exemplo, um contador descuidado pode facilmente abrir um arquivo malicioso disfarçado como uma fatura de um dos inúmeros fornecedores da empresa e, assim, desligar toda a infraestrutura da organização, tornando-se um cúmplice involuntário dos invasores.
“Muitas vezes, os criminosos virtuais usam os funcionários como ponto de entrada para invadir a infraestrutura corporativa. E-mails de phishing, senhas fracas, chamadas falsas do suporte técnico; já vimos tudo isso. Até um cartão de memória comum caído no estacionamento do escritório ou perto da mesa da recepção pode comprometer toda a rede. Basta que alguém dentro da organização não tenha conhecimento ou não preste atenção à segurança para que o dispositivo possa ser facilmente conectado à rede, onde é capaz de causar verdadeiros desastres”, explica David Jacoby, pesquisador em segurança da Kaspersky Lab.
Os ataques direcionados sofisticados não acontecem todos os dias, mas o malware convencional opera em grande escala. Infelizmente, a pesquisa também mostra que, mesmo em relação ao malware, muitas vezes funcionários inconscientes e descuidados estão envolvidos e provocam as infecções em 53% dos incidentes.
Esconde-esconde: por que o RH e a direção devem se envolver
Quando a equipe esconde os incidentes nos quais se envolveram, as consequências podem ser drásticas, aumentando o prejuízo total causado. Um único evento não relatado poderia indicar uma violação muito maior, e as equipes de segurança precisam ser capazes de identificar rapidamente as ameaças que enfrentam para poder escolher a tática de atenuação correta.
Porém, os funcionários preferem colocar a organização em risco do que informar um problema porque temem ser punidos ou ficam constrangidos por serem responsáveis por algo errado. Algumas empresas estabeleceram regras rígidas e impõem uma responsabilidade excessiva sobre os funcionários, em vez de simplesmente incentivá-los a ficar atentos e cooperar. Isso significa que a proteção virtual não está apenas no âmbito da tecnologia, mas também faz parte da cultura e do treinamento da organização. E, nesse ponto, o envolvimento da diretoria e do RH é fundamental.
“A questão da ocultação de incidentes deve ser conversada não apenas com os funcionários, mas também com a diretoria e o departamento de RH. Se os funcionários escondem os incidentes, deve haver um motivo. Em alguns casos, as empresas adotam políticas rígidas, mas confusas, e colocam pressão demais sobre a equipe, com advertências para que não façam isso ou aquilo, pois serão responsabilizados caso ocorra algo errado. Essas políticas alimentam o medo e dão apenas uma opção aos funcionários: evitar as punições a qualquer custo. Se você tem uma cultura de segurança virtual positiva, baseada na educação e não em restrições, em todas as instâncias, os resultados são óbvios”, comenta Slava Borilin, gerente do programa de educação sobre segurança da Kaspersky Lab.
Borilin também lembra de um modelo de segurança industrial em que a divulgação e a abordagem de ‘aprendizado pelo erro’ ocupam posição central na empresa. Por exemplo, nesta declaração recente, Elon Musk, da Tesla, solicitou que qualquer incidente que afetasse a segurança dos funcionários fosse informado diretamente a ele, para que ele próprio pudesse direcionar a mudança necessária.
O fator humano: o ambiente corporativo e além
Organizações do mundo inteiro já estão acordando para o problema das vulnerabilidades em suas empresas causadas por funcionários: 52% das empresas pesquisadas admitem que suas equipes são o elo mais fraco em sua segurança de TI. A necessidade de implementar medidas voltadas para os funcionários se torna cada vez mais evidente: 35% das empresas buscam melhorar a segurança por meio do treinamento das equipes, sendo esse o segundo método mais popular de defesa cibernética, atrás apenas da implementação de software mais sofisticado (43%).
A melhor maneira de proteger as organizações contra ameaças virtuais relacionadas ao pessoal é associar as ferramentas e as práticas corretas. Isso deve envolver iniciativas de RH e de gerenciamento para motivar e incentivar os funcionários a ficarem atentos e procurar ajuda no caso de um incidente. O treinamento em conscientização de segurança da equipe, a apresentação de instruções claras em vez de documentos extensos, o desenvolvimento de qualificação sólida e a motivação e o cultivo de um ambiente de trabalho adequado são os primeiros passos que as organizações devem dar.
Em termos de tecnologias de segurança, a maioria das ameaças que visam funcionários desinformados ou descuidados, inclusive o phishing, pode ser resolvida por soluções de segurança de endpoints. Elas tratam das necessidades específicas de PMEs e grandes empresas em termos de funcionalidades, proteção pré-configurada ou configurações avançadas de segurança para minimizar os riscos.