Proteger o capital humano é um dos grandes desafios do CISO de hoje. Por isso, a caravana do Congresso Security Leaders levou às principais capitais do país uma discussão essencial sobre garantir ambientes mais resilientes, contando especialmente com a preparação do elo mais fraco da superfície de ataque.
Os líderes de Cyber apontam com frequência o desafio de enfrentar os métodos de comprometimento de e-mails corporativos, venda de credenciais ou mesmo golpes de phishing. Eles concordam que, apesar de todas as soluções que estão disponíveis no mercado, uma simples ação de engenharia social bem-sucedida pode driblar a tecnologia.
De acordo com Marcos Donner, Head of Information Security and Cybersecurity na Agi, é bastante comum ocorrerem ataques direcionados aos C-Levels, pois estes estão mais expostos publicamente. Quanto mais essa régua de representatividade sobe, maior é a exposição a e-mail, aplicativos de mensageria e ferramentas de compartilhamento de arquivos.
“Hoje, se criou uma dinâmica de trabalho bastante dependente de colaboração digital, envolvendo todos esses recursos comuns às atividades da companhia. O crescimento do uso desses recursos aumentou também a superfície de ataque para além do e-mail, embora esse continue sendo o canal mais usado em comunicação e ataque”, explicou Donner durante painel no SL de Porto Alegre.
Para Pedro Nuno, CISO do Banco BMG, o controle dos riscos humanos às estruturas de Cyber é um assunto amplo e de difícil resolução. Muitos dos problemas estão relacionados à pressão do negócio e envolvem o nível de conscientização do usuário comum e de quem possui acesso privilegiado, um alvo de maior risco.
“Empresas comprometidas costumam ser as responsáveis pelo incidente. Em parte, pela falta de capacitação de clientes e funcionários, mas também pelo forte mercado de venda de credenciais. Além disso, existe uma séria carência de qualificações na própria área de Cyber, com muitas equipes sem o costume de aplicar ações básicas como teste de phishing”, disse Nuno no painel do SL de Belo Horizonte.
Assim, diante dos riscos de exposição, é necessário aos CISOs se concentrarem em dialogar com os diversos departamentos da organização e engajá-los em planos de educação e conscientização sobre boas práticas em rede. A proposta, segundo os C-Levels, é formar uma cultura de mitigação de riscos.
“Na vertical da Indústria, quem não está comprometido com a segurança física é passível de demissão. Em relação à parte digital, é razoável contratar um desenvolvedor que não se importa devidamente com a Segurança?”, provoca Nuno.
Rodrigo Costa, Gerente de SI e Proteção de Dados na Federação das Indústrias de Minas Gerais, concordou com a afirmação de Nuno e lembrou ser importante ter um processo de capacitação atrelado ao conjunto de soluções adquiridas, com o objetivo de dar inteligência e efetividade às ações de Cyber. Com isso, é possível mudar de uma posição reativa para outra, mais preditiva.
“O elo fraco continua sendo as pessoas, especialmente as que não têm conhecimento técnico. Portanto elas precisam ser preparadas e conscientizadas da sua responsabilidade com o objetivo de entender a importância da Segurança na organização e ser uma voz dentro da empresa, replicando esse conhecimento adiante. Com isso, é possível criar um processo vivo e dinâmico de melhores formas de agir com a tecnologia”, refletiu Costa.
Responsabilizar para criar cultura
Depois de conscientizar e treinar a força de trabalho, o passo seguinte da comunidade Cyber é compreender como responder aos resultados positivos e negativos das campanhas. Para os C-Levels, a melhor opção é manter um equilíbrio entre as punições e bonificações dos usuários, focando em não os assustar ao ponto de temerem acusar um phishing, mas mantê-los atentos aos projetos de Segurança.
“Hoje, mesmo as empresas que tenham processo funcionais de conscientização falham na responsabilização. Bonificar e punir são ações unificadas e com aprovação da própria companhia, especialmente no nível de severidade delas. Essa é uma das iniciativas básicas, mas o mercado como um todo ainda não conseguiu aplicar corretamente”, afirma Wesley Veloso, Gerente de Cyber Security na Localiza, em sua participação na capital mineira.
Acompanhando a fala de Veloso, Pedro Nuno definiu particularmente a prática punitiva como uma gestão de consequências. O objetivo é, ao mesmo tempo, preservar a integridade digital da organização e tentar aplicar outros caminhos de educação do usuário reincidente em práticas ruins. Caso não se perceba comprometimento do usuário, outras medidas de correção podem ser usadas. “Infelizmente, a punição costuma ser um método para desincentivar o usuário a interagir com links e e-mails suspeitos sem antes consultar alguém de Cyber, por exemplo. Isso é um meio de gerar iniciativa do próprio funcionário buscar saber antes de clicar em algo suspeito, pois evitará qualquer consequência ruim para o trabalho dele”, finaliza o CISO do BMG.
