Em quase todos os ataques cibernéticos bem-sucedidos um fator-chave é comum: o erro humano. Estima-se que em 95% dos casos de violação de segurança, o erro humano foi uma causa contribuinte. Mas há uma lição positiva para se extrair de uma estatística tão desanimadora. 95% de todas as violações de segurança cibernética poderiam ter sido evitadas se a força de trabalho tivesse sido treinada e equipada para isso.
O que é o erro humano?
Simplificando, o erro humano refere-se a ações não intencionais – ou falta de ação – dos envolvidos em alguns dos processos do negócio. Essas ações podem levar a violações de segurança e se materializam em uma infinidade de erros comuns – como falhas de atualização de sistemas de computador, uso de senhas fracas e inocentes clicks em links desconhecidos.
Embora a maioria das empresas use algum tipo de software de segurança, a proteção só pode ir até onde a força de trabalho utiliza os sistemas. Os criminosos cibernéticos geralmente obtêm acesso aos dados por meio de pessoas – que agem como uma porta aberta em meio a sistemas de segurança complexos.
A maioria dos erros humanos resulta de treinamento inadequado e falta de conscientização. Naturalmente, a redução do erro humano deve ser uma parte fundamental das estratégias de segurança cibernética das organizações.
A escalada do fator humano na cadeia de segurança
Embora o fator humano sempre tenha sido uma ameaça à segurança cibernética, o aumento do trabalho em casa e o refinamento dos ataques cibernéticos potencializaram o problema.
Funcionários remotos praticamente “renunciam” à supervisão presencial e das equipes de TI e à proteção oferecida pelo ambiente corporativo, tendo assim também “renunciado” a algumas camadas de segurança. Com esta nova realidade, a necessidade de conscientização sobre segurança da força de trabalho nunca foi tão grande.
Phishing
Os golpes de phishing referem-se ao processo de roubo de informações confidenciais de usuários, agindo como um indivíduo confiável ou terceiro. O phishing pode vir na forma de um anexo clicável, macros habilitadas em arquivos, atualização de senhas ou uso de conexões não seguras.
De acordo com um relatório da Verizon, 90% dos ataques de phishing confirmados, ocorreram em ambientes que usam gateways de e-mail seguros, onde uma equipe experiente poderia ter ajudado a evitar isso.
Observa-se que os setores financeiro, de mídia social e SaaS são os mais afetados por golpes de phishing. Ainda assim, 75% das organizações sofreram pelo menos um ataque de phishing no ano passado (2021).
Senhas Fracas
Isso pode parecer desatualizado ou “fora de moda”, mas estudos mostram que uma grande porcentagem de senhas é “123456”, ou similares – em todas as plataformas. Os funcionários geralmente precisam trabalhar em um extenso conjunto de plataformas que exigem credenciais de login. Pode ser fácil para os funcionários se tornarem relapsos e manterem a mesma senha para tudo, mas isso também torna o trabalho do criminoso muito mais fácil.
Falhas de Atualização de Software
A segurança cibernética deve ser um processo consistente, sempre necessário e em constante evolução. As pessoas por trás dos dispositivos e softwares que você usa estão trabalhando consistentemente para corrigir e proteger quaisquer vulnerabilidades nos sistemas. Ao fazer isso, eles disparam atualizações de software. Ao não atualizar o software, os usuários ficam vulneráveis a ataques.
Indiscutivelmente, o exemplo mais famoso disso é o ataque de ransomware Wannacry de 2017. Estima-se que o ataque tenha afetado aproximadamente 230.000 dispositivos em 150 países, com danos que custaram centenas de milhões de dólares. A exploração usada neste ataque havia sido corrigida meses antes pela Microsoft. Se os usuários tivessem atualizado seus dispositivos, esse resultado teria sido evitado.
Controles de Acesso
Um erro humano comum em relação à segurança cibernética é o controle de acesso inadequado. Quanto mais acesso os indivíduos tiverem aos arquivos da empresa, mais acesso terão os invasores bem-sucedidos. Os funcionários só devem ter acesso a arquivos e software necessários para fazer bem seu trabalho – o que diminui o impacto e a amplitude de possíveis violações.
Mitigando o Erro Humano
Um estudo de caso da Capita, entrevistando 524 empresas violadas, relatou que o custo médio de cada violação foi de 3,86 milhões de dólares. Ao analisar esse dado com o conhecimento de que 95% das violações são causadas – pelo menos parcialmente – por erro humano, fica claro o caminho a seguir. O custo do treinamento de segurança cibernética e de uma equipe é significativamente baixo e pode salvar as empresas de resultados prejudiciais.
Toda a força de trabalho deve ter um bom nível de compreensão de segurança cibernética, incluindo o básico, como complexidade de senha e detecção de golpes de phishing. É importante que as empresas controlem o privilégio e a supervisão de dados importantes. Compartilhe apenas as informações necessárias com cada funcionário para garantir que qualquer risco de violação não se espalhe ainda mais. Construir uma cultura cibernética em que os funcionários se sintam capacitados para explorar, aprender e relatar quaisquer ameaças é importante para se manter atualizado sobre os riscos atuais.
A divisão de capacitações da EximiaCo oferece treinamentos In-Company voltados à segurança que visam, além da conscientização sobre a segurança, a ampliação de conhecimento para equipes técnicas, gestores e c-levels. Converse conosco para saber mais sobre nossa Consultoria & Assessoria em Gestão em Segurança da Informação, assim podemos ajudar seu negócio a ser mais seguro.