O fator humano é sem dúvidas o elo mais fraco quando falamos em cibersegurança, sendo também o principal responsável pela eficácia de um ataque. Cientes disto, os cibercriminosos tentam constantemente explorar o descuido dos funcionários ao lançar novas campanhas. Mas também podemos ver esta realidade como uma oportunidade, pois com o conhecimento e treinamento necessários, os funcionários podem se tornar a primeira camada de defesa de uma empresa. A chave é implementar um programa de capacitação eficaz para aumentar a conscientização sobre os possíveis riscos de segurança que tanto funcionários quanto usuários podem sofrer.
Segundo dados divulgados recentemente, 82% dos vazamentos de dados analisados em 2021 envolveram um "elemento humano". Esta porcentagem demonstra que atualmente os funcionários representam um dos principais alvos de cibercriminosos ao realizar ataques. Portanto, é fundamental para a estratégia de mitigação de riscos de uma organização proporcionar aos funcionários o conhecimento necessário para que se tornem cada vez mais capazes de detectar os sinais de alerta de um ataque potencial e de compreender quando podem estar colocando dados sensíveis em risco.
O que é capacitação em conscientização sobre cibersegurança?
O capacitação em conscientização tem como objetivo mudar comportamentos através de uma melhor educação para permitir que as pessoas aprendam como identificar onde se encontram os principais riscos de segurança e quais são as melhores práticas para mitigá-los. É um processo formalizado que deve, idealmente, cobrir uma variedade de áreas temáticas e técnicas para capacitar os funcionários a tomarem as decisões corretas. É essencial para as organizações que tentam criar uma cultura corporativa de segurança desde a concepção.
Por que é necessário capacitar os funcionários sobre o assunto?
Como em qualquer tipo de programa de capacitação, a ideia é melhorar as habilidades do indivíduo. Neste caso, a melhoria do conhecimento do indivíduo sobre segurança digital não só posiciona melhor o funcionário para desempenhar seu papel, mas também reduz o risco de um possível vazamento de dados com todas as suas consequências.
A verdade é que os usuários corporativos representam o coração pulsante de qualquer empresa. Se eles podem ser atacados, a empresa também pode ser atacada. Da mesma forma, o acesso que eles têm a dados sensíveis e sistemas de TI aumenta o risco de acidentes que também podem afetar negativamente o negócio.
Veja mais: 5 ideias para estabelecer práticas de capacitação em segurança em uma empresa
Várias tendências destacam a necessidade urgente de que as empresas implementem programas de treinamento para aumentar a conscientização sobre aspectos-chave da segurança, como por exemplo:
Senhas: as credenciais estáticas existem há tanto tempo quanto os sistemas digitais. E apesar dos apelos dos especialistas em segurança ao longo dos anos, as senhas ainda são o método mais popular usado pelos usuários ao realizar processos de autenticação. A razão é simples: as pessoas instintivamente sabem como usá-las. O desafio é que as senhas também são um alvo para os cibercriminosos. Se um atacante conseguir fazer com que um funcionário informe seus dados de acesso, ou até mesmo caso consiga adivinhá-los, provavelmente não haverá mais nada em seu caminho para obter o acesso total à rede corporativa.
Segundo uma estimativa, mais da metade dos funcionários em países como os Estados Unidos escreveram suas senhas em um pedaço de papel. Práticas inseguras de gerenciamento de senhas abrem a porta para atacantes. E a medida que aumenta a quantidade de dados de login que os funcionários precisam lembrar, também aumenta a probabilidade de que ocorra o uso indevido desses dados.
Engenharia social: os seres humanos são seres sociais. Isto nos torna suscetíveis à persuasão. Queremos acreditar nas histórias que nos são contadas e na pessoa que as conta. É por isso que a engenharia social funciona: a utilização de técnicas persuasivas como a pressão e a personificação para enganar a vítima a fim de que cumpra as orientações de atacantes. O melhor exemplo de engenharia social pode ser um e-mail de phishing, uma mensagem de texto (também conhecida como smishing) ou uma chamada telefônica (também conhecida como vishing), mas também é usada em ataques do tipo BEC e em outras formas de golpes.
A economia do cibercrime: atualmente, os cibercriminosos têm uma rede complexa e sofisticada composta por sites na dark web. Através destas páginas, atacantes compram e vendem dados e serviços que vão desde hospedagem protegida, ransomware as a service, e etc. Estima-se a movimentação de bilhões de dólares nesses mercados. Esta "profissionalização" da indústria do cibercrime fez com que os cibercriminosos se enfocassem onde o retorno do investimento pudesse ser maior. Em muitos casos, isso significa visar os próprios usuários: funcionários corporativos e consumidores.
Trabalho híbrido: acredita-se que os funcionários que trabalham em casa são mais propensos a clicar em links de phishing e se envolver em comportamentos mais arriscados, como o uso de dispositivos de trabalho para uso pessoal. O surgimento de uma nova era de trabalho híbrido abriu as portas para que os atacantes pudessem atacar os usuários corporativos. Sem mencionar o fato de que as redes domésticas e os computadores podem estar menos protegidos.
Por que a capacitação é importante?
Um grave vazamento de segurança, seja como resultado de um ataque de terceiros ou da divulgação acidental de dados, pode resultar em prejuízos financeiros e de reputação significativos para uma empresa. Um estudo recente revelou que 20% das empresas que sofreram algum vazamento de segurança quase encerraram suas atividades como resultado de um incidente desse tipo. Uma pesquisa independente afirma que o custo médio de um vazamento de dados é agora maior do que nunca: mais de US$ 4,2 milhões.
Não se trata apenas de um cálculo do custo de um incidente para os funcionários. Muitas regulamentações como a HIPAA, PCI DSS e Sarbanes-Oxley (SOX) exigem que empresas realizem programas de capacitação em conscientização de segurança para os funcionários.
Como fazer com que a capacitação em cibersegurança funcione
Já explicamos o "por que", mas e o "como"? Os CISOs devem conversar com as equipes de recursos humanos, que normalmente lideram os programas de capacitação de uma empresa. Estes profissionais podem ser capazes de fornecer dicas ou apoio mais coordenado.
Um programa de capacitação em cibersegurança por incluir assuntos como:
- Engenharia social e phishing/vishing/smishing;
- Ataques via e-mail;
- Proteção web (navegação segura e uso de Wi-Fi público);
- Melhores práticas de senha e autenticação em diversas etapas;
- Trabalho seguro à distância e em casa;
- Como detectar ameaças internas.
Além disso, a capacitação deve ser:
- Divertida e dinâmica (pense em reforçar as mensagens de forma positiva em vez de serem baseadas no medo);
- Baseada em exercícios que simulam situações da vida cotidiana;
- Continua: ações realizadas durante todo o ano, com exercícios curtos (10-15 minutos);
- Inclusiva: todos os membros da empresa devem participar, incluindo executivos, terceirizados;
- Capaz de gerar resultados que podem ser usados para adaptar programas para atender às necessidades individuais;
- Projetada para se adequar a diferentes cargos.
Ao decidir tudo isso, é importante encontrar o fornecedor certo para implementar esses programas de capacitação. Felizmente, existem muitas opções e com diferentes preços, assim como ferramentas gratuitas.