[bsa_pro_ad_space id=3 delay=8]

Especial Security Leaders Regional: Resiliência cibernética se faz com pessoas

As edições regionais do Security Leaders discutiram os gargalos da Segurança em proteger pessoas das ameaças cibernéticas. Segundo a comunidade de SI, é necessário estabelecer culturas de conscientização entre os funcionários através de campanhas de simulação e processos de responsabilização

Compartilhar:

Proteger o capital humano é um dos grandes desafios do CISO de hoje. Por isso, a caravana do Congresso Security Leaders levou às principais capitais do país uma discussão essencial sobre garantir ambientes mais resilientes, contando especialmente com a preparação do elo mais fraco da superfície de ataque.

Os líderes de Cyber apontam com frequência o desafio de enfrentar os métodos de comprometimento de e-mails corporativos, venda de credenciais ou mesmo golpes de phishing. Eles concordam que, apesar de todas as soluções que estão disponíveis no mercado, uma simples ação de engenharia social bem-sucedida pode driblar a tecnologia.

De acordo com Marcos Donner, Head of Information Security and Cybersecurity na Agi, é bastante comum ocorrerem ataques direcionados aos C-Levels, pois estes estão mais expostos publicamente. Quanto mais essa régua de representatividade sobe, maior é a exposição a e-mail, aplicativos de mensageria e ferramentas de compartilhamento de arquivos.

“Hoje, se criou uma dinâmica de trabalho bastante dependente de colaboração digital, envolvendo todos esses recursos comuns às atividades da companhia. O crescimento do uso desses recursos aumentou também a superfície de ataque para além do e-mail, embora esse continue sendo o canal mais usado em comunicação e ataque”, explicou Donner durante painel no SL de Porto Alegre.

Para Pedro Nuno, CISO do Banco BMG, o controle dos riscos humanos às estruturas de Cyber é um assunto amplo e de difícil resolução. Muitos dos problemas estão relacionados à pressão do negócio e envolvem o nível de conscientização do usuário comum e de quem possui acesso privilegiado, um alvo de maior risco.

“Empresas comprometidas costumam ser as responsáveis pelo incidente. Em parte, pela falta de capacitação de clientes e funcionários, mas também pelo forte mercado de venda de credenciais. Além disso, existe uma séria carência de qualificações na própria área de Cyber, com muitas equipes sem o costume de aplicar ações básicas como teste de phishing”, disse Nuno no painel do SL de Belo Horizonte.

Assim, diante dos riscos de exposição, é necessário aos CISOs se concentrarem em dialogar com os diversos departamentos da organização e engajá-los em planos de educação e conscientização sobre boas práticas em rede. A proposta, segundo os C-Levels, é formar uma cultura de mitigação de riscos.

“Na vertical da Indústria, quem não está comprometido com a segurança física é passível de demissão. Em relação à parte digital, é razoável contratar um desenvolvedor que não se importa devidamente com a Segurança?”, provoca Nuno.

Rodrigo Costa, Gerente de SI e Proteção de Dados na Federação das Indústrias de Minas Gerais, concordou com a afirmação de Nuno e lembrou ser importante ter um processo de capacitação atrelado ao conjunto de soluções adquiridas, com o objetivo de dar inteligência e efetividade às ações de Cyber. Com isso, é possível mudar de uma posição reativa para outra, mais preditiva.

“O elo fraco continua sendo as pessoas, especialmente as que não têm conhecimento técnico. Portanto elas precisam ser preparadas e conscientizadas da sua responsabilidade com o objetivo de entender a importância da Segurança na organização e ser uma voz dentro da empresa, replicando esse conhecimento adiante. Com isso, é possível criar um processo vivo e dinâmico de melhores formas de agir com a tecnologia”, refletiu Costa.

Responsabilizar para criar cultura

Depois de conscientizar e treinar a força de trabalho, o passo seguinte da comunidade Cyber é compreender como responder aos resultados positivos e negativos das campanhas. Para os C-Levels, a melhor opção é manter um equilíbrio entre as punições e bonificações dos usuários, focando em não os assustar ao ponto de temerem acusar um phishing, mas mantê-los atentos aos projetos de Segurança.

“Hoje, mesmo as empresas que tenham processo funcionais de conscientização falham na responsabilização. Bonificar e punir são ações unificadas e com aprovação da própria companhia, especialmente no nível de severidade delas. Essa é uma das iniciativas básicas, mas o mercado como um todo ainda não conseguiu aplicar corretamente”, afirma Wesley Veloso, Gerente de Cyber Security na Localiza, em sua participação na capital mineira.

Acompanhando a fala de Veloso, Pedro Nuno definiu particularmente a prática punitiva como uma gestão de consequências. O objetivo é, ao mesmo tempo, preservar a integridade digital da organização e tentar aplicar outros caminhos de educação do usuário reincidente em práticas ruins. Caso não se perceba comprometimento do usuário, outras medidas de correção podem ser usadas. “Infelizmente, a punição costuma ser um método para desincentivar o usuário a interagir com links e e-mails suspeitos sem antes consultar alguém de Cyber, por exemplo. Isso é um meio de gerar iniciativa do próprio funcionário buscar saber antes de clicar em algo suspeito, pois evitará qualquer consequência ruim para o trabalho dele”, finaliza o CISO do BMG.


Conteúdos Relacionados

Security Report | Destaques

ALLOS eleva maturidade em Segurança Cibernética com jornada tecnológica

Em parceria com a NetSecurity, a administradora de shoppings conseguiu integrar e automatizar processos, proporcionando uma resposta eficaz a incidentes...
Security Report | Destaques

Eneva aposta em assessment para construir uma infraestrutura de segurança resiliente

Em parceria com a Cisco, a empresa decidiu priorizar uma abordagem personalizada para construir uma infraestrutura sólida e robusta. Case...
Security Report | Destaques

Prêmio Security Leaders: inscrições abertas

O Prêmio mais cobiçado do mercado de Segurança da Informação e Cibernética está no ar. Líderes, Heads e CISOs podem...
Security Report | Destaques

O Burnout Silencioso dos CISOs

Cada vez mais pesquisas de instituições relevantes apontam um processo acentuado de exaustão por parte dos Líderes de Segurança em...