Nos últimos dois anos, cerca de um quinto (19%) dos ciberincidentes nas empresas brasileiras ocorreram por funcionários que violaram intencionalmente algum protocolo de segurança. Essa porcentagem é bem semelhante aos problemas causados por violações digitais por hackers (25%). Os dados são de uma pesquisa realizada pela Kaspersky para descobrir as opiniões dos profissionais de cibersegurança sobre o impacto que as pessoas têm na cibersegurança de uma empresa.
O estudo da Kaspersky revelou que, além de erros humanos genuínos (36,5%), as violações da política de segurança da informação por parte dos funcionários são um dos maiores problemas para as empresas. Entrevistados de organizações no Brasil afirmam que ações intencionais para quebrar as regras de cibersegurança foram feitas tanto por funcionários de TI quanto à não relacionados à TI nos últimos dois anos.
Em termos de comportamento individual, o problema mais comum é que os funcionários fazem deliberadamente o que é proibido e não conseguem executar o que é exigido. Os entrevistados afirmam que um quinto (21%) dos ciberincidentes brasileiros nos últimos dois anos ocorreu devido ao uso de senhas fracas ou falha em alterá-las em tempo hábil. A outra causa de quase um terço (28%) dos incidentes é resultado de acessos de colaboradores a sites não seguros.
Já outros 31% relatam que enfrentaram problemas porque funcionários não atualizam o software ou aplicativos do sistema quando era necessário. O uso de serviços ou dispositivos não solicitados foi o fator para violações intencionais da política de segurança da informação em 17% dos casos.
Além disso, funcionários em 24% das empresas acessaram dados intencionalmente por meio de dispositivos não autorizados, enquanto 7% deles enviaram dados para seus endereços de e-mail pessoais. Outra ação relatada foi a implantação de shadow IT em dispositivos de trabalho – 8% dos entrevistados indicam que isso levou a seus incidentes online.
De forma alarmante, os entrevistados brasileiros admitem que, além do comportamento irresponsável já mencionado, 10% das ações maliciosas foram cometidas pelos funcionários para ganho pessoal.
“Como mostram as estatísticas, os funcionários de qualquer departamento, sejam especialistas de TI ou não, podem impactar a segurança da empresa de forma intencional ou acidental. Para mitigar o fator humano, as empresas precisam criar políticas e realizar treinamentos de consciência (para todos os profissionais) e de capacitação (para a equipe técnica). Nesse contexto, a tecnologia ajuda a garantir o cumprimento dos processos e das práticas exigidas das pessoas, como atualização automática, senhas complexas (via regras mais rígidas) e monitoramento e boqueia da Shadow IT para impedir vazamentos intencionais”, recomenda Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.
Para manter a rede empresarial protegida contra as consequências das violações de funcionários, a Kaspersky recomenda usar produtos de cibersegurança com recursos de controle web, de aplicativos e dispositivos. Controlar as transferências de dados nos dois sentidos – dentro e fora do sistema – também é bastante necessário.