Cozinheiro que confundiu o prato. Piloto que cometeu uma falha no voo. Erro médico. Você se lembra de algum caso e qual foi o pior resultado? Muitos desses problemas podem ser evitados com experiência e orientação corretas, inclusive quando falamos de cibersegurança de empresas, cujos “pilotos” dos sistemas são seus funcionários.
Alguns comportamentos humanos podem gerar falhas de segurança da informação nas empresas, abrindo brechas para ciberataques. Sabe aquela mensagem de e-mail que, mesmo não sendo para você, dá uma curiosidade de ver o que tem no anexo? Pois é, eu não sei porque não abro, mas muitos fazem isso. E aquele link que te mandaram dizendo ser algo que você quer muito? Cuidado com isso, nem sempre é tão difícil descobrir do que você gosta. O fato é que, uma vez cometido o erro, este pode levar a estação de trabalho a ficar infectada por malware e se espalhar por toda uma organização.
O ransomware, por exemplo, é um tipo de malware que criptografa (embaralha) os dados de seus arquivos e aos quais sua estação tem acesso e exige uma fiança para descriptografá-los. Ou seja, é um sequestro de dados. Consegue ver o quanto isto é prejudicial tanto do lado financeiro quanto de reputação para uma empresa?
Os botnets são outro tipo de malware que costumam se espalhar por outras estações, servidores e dispositivos ligados à internet. Sua atuação é para tornar estes dispositivos em escravos para ações de comando remoto. Ou seja, usar seus recursos de processamento e memória para fins de ciberataques. Também não queremos este tipo de software em nossos dispositivos, concorda?
É uma batalha sem fim, com sempre novas ameaças surgindo, como doenças que precisamos tratar. Hoje temos recursos para tentar minimizá-las, mas também precisamos pensar na prevenção. E é neste ponto que entra a conscientização dos usuários da empresa. Note que, assim como campanhas de saúde física, precisamos de campanhas para saúde digital.
Campanhas de segurança da informação devem mostrar como a curiosidade, ingenuidade e outros comportamentos descuidados podem ser prejudiciais. Uma sugestão seria criar mensagens de e-mail com remetentes aleatórios e links não maliciosos, mas quando clicados, levassem às mensagens de alerta sobre o que o usuário acabara de fazer, abordando assuntos como ameaças e seus impactos para o negócio. Outra ação, mais simples, seria organizar palestras e treinamentos, presenciais ou virtuais, sobre o assunto. O importante é conscientizar!
* André Duarte é coordenador de Operações do Arcon Labs