Fator Humano na segurança IT e desafios internos

Incidentes de cibersegurança causados pelos seus colaboradores? Talvez nunca os venha a descobrir…

• Fator Humano na segurança IT e desafios internos: Como é que os colaboradores tornam a empresa vulnerável – é o novo relatório elaborado pela Kaspersky Lab e pelo B2B International
• Nesta investigação conclui-se que em 40% das empresas em todo o mundo, os colaboradores escondem incidentes ao nível da segurança IT
• 46% dos incidentes de segurança IT são causados pelos colaboradores todos os anos

O Fator Humano na segurança IT e desafios internos: Como é que os colaboradores tornam a empresa vulnerável – é o novo relatório elaborado pela Kaspersky Lab e pelo B2B International. Nesta investigação conclui-se que em 40% das empresas em todo o mundo, os colaboradores escondem incidentes ao nível da segurança IT. Com 46% dos incidentes de segurança IT causados pelos colaboradores todos os anos, esta vulnerabilidade deve começar a ser analisada a vários níveis, e não só através do departamento de segurança IT.

Abrindo a porta aos hackers

Os colaboradores pouco informados ou descuidados são uma das causas mais comuns dos incidentes de cibersegurança – atrás dos mesmos estão apenas os ataques que têm por base o malware. Apesar dos ataques por malware serem cada vez mais sofisticados, a verdade é que o fator humano pode constituir um perigo ainda maior.
O descuido dos colaboradores é uma das maiores falhas de cibersegurança no que diz respeito a ataques direcionados. Atualmente, os hackers mais sofisticados recorrem a malware personalizado e técnicas hi-tech para planear os seus golpes, no futuro irão também começar a explorar o ponto de entrada mais fácil – a natureza humana.
De acordo com a investigação, cerca de um terço (28%) dos ataques direcionados a empresas, no ano passado, usaram phishing ou social engineering como fonte. Por exemplo, um contabilista poderia facilmente abrir um ficheiro que se fizesse passar por uma fatura de um dos vários fornecedores da empresa. Esta situação pode levar à rutura das infraestrutura de toda a organização, transformando o contabilista num cúmplice involuntário do ataque.

“Os hackers utilizam várias vezes os colaboradores como um ponto de entrada para a infraestrutura da empresa. E-mails de phishing, palavras-passe fracas, chamadas falsas de equipas de apoio técnico – já vimos de tudo. Mesmo um cartão de memória caído no parque de estacionamento ou próximo de uma secretária pode comprometer toda a rede – tudo o que é preciso é alguém de dentro da empresa, que não saiba ou não preste atenção à segurança, e esse dispositivo pode facilmente conectar-se à rede e originar o caos,” comenta David Jacoby, Investigador de Segurança na Kaspersky Lab.

Os ataques direcionados às empresas não acontecem diariamente – mas o malware tradicional acontece em massa. Infelizmente, o relatório mostra também que, mesmo quando o malware é levado em conta, os colaboradores descuidados ou pouco alerta para estes temas estão muitas das vezes envolvidos, sendo a causa de infeções em 53% dos incidentes.

Porque é que os Recursos Humanos e os Administradores se devem envolver

Ao esconder os incidentes em que estiveram envolvidos, os colaboradores podem aumentar os danos causados e dar origem a consequências dramáticas. Mesmo um acontecimento que não seja reportado pode significar uma quebra de segurança muito grave. Por isso, as equipas de IT precisam de identificar rapidamente quais as ameaças com que se estão a deparar para escolher qual a melhor estratégia de defesa.
Ainda assim, os colaboradores mais facilmente colocariam a empresa em risco do que reportariam um problema por temerem repercussões ou por se sentirem envergonhados por terem sido a causa de algo que correu mal. Algumas empresas têm regras rigorosas e impõe responsabilidades extra aos seus colaboradores em vez de os encorajar a ser vigilantes e cooperativos. Isto significa que a ciberproteção não reside apenas no patamar da tecnologia mas também na cultura e treino da organização. É aqui que os Administradores e os Recursos Humanos devem ser envolvidos.

“O problema da omissão de incidentes deve ser apresentado não só aos colaboradores mas também aos Administradores e aos departamentos de Recursos Humanos. Se os colaboradores escondem incidentes, tem de haver um motivo para que o façam. Em alguns casos, as empresas introduzem políticas rígidas que não são claras, e põe demasiada pressão nas equipas, avisando-os para que não façam isto ou aquilo, caso contrário serão responsabilizados se algo correr mal. Estas políticas originam receios e os colaboradores só têm uma hipótese – evitar punições de qualquer forma. Se a cultura de cibersegurança for positiva, baseada numa abordagem educativa em vez de restritiva, do topo para as bases, os resultados serão óbvios,” comenta Alfonso Ramírez, Diretor Geral da Kaspersky lab Iberia.
Para além disso, deve destacar-se que o modelo de segurança industrial onde uma abordagem pela aprendizagem com os erros e as denúncias são a alma do negócio. Por exemplo, no seu mais recente discurso, Elon Musk da Tesla solicitou que cada incidente que afetasse a segurança dos trabalhadores lhe fosse reportado diretamente, de forma a ter um papel principal na mudança.

Fator humano: o clima corporativo e outros

Algumas organizações em todo o mundo começam a estar alerta para o problema das equipas tornarem os seus negócios vulneráveis: 52% das empresas analisadas admitiu que os colaboradores são a maior fraqueza na sua segurança IT. A necessidade de implementar medidas focadas nos colaboradores é cada vez mais evidente: 35% das empresas está a melhorar a sua segurança através da formação dos seus colaboradores, tornando-o no segundo melhor método de cibersegurança, apenas atrás da implementação de software mais sofisticado (43%).
A melhor forma de proteger as organizações de ameaças associadas ao fator humano é alinhar as ferramentas certas com as práticas certas. Estas envolvem esforços dos departamentos de Recursos Humanos e da Administração para motivar e encorajar os colaboradores a estarem mais atentos e pedirem ajuda caso ocorra algum incidente. Formação para a consciencialização de segurança para os colaboradores, emissão de diretrizes claras em vez de documentos de várias páginas, criação de laços fortes e um ambiente de trabalho ideal são os primeiros passos que uma organização deve tomar.

No que diz respeito às tecnologias de segurança, a maioria das ameaças que tem como objetivo os colaboradores descuidados ou pouco alerta para estes temas – incluindo o phishing – podem ser resolvidas com soluções de segurança endpoint. Estas podem também resolver as necessidades das PME e outras organizações quanto à funcionalidade, proteção pré-definida ou propriedades mais avançadas de proteção para minimizar os riscos.