O impacto das falhas humanas na cibersegurança

Segundo Flávio Shiga, gerente da iBliss, uso de soluções automatizadas, conscientização de colaboradores e testes de vulnerabilidades podem reforçar proteção corporativa

Compartilhar:

* Flávio Shiga

Atualmente é comum o investimento em uma infraestrutura de segurança em camadas, com sistemas de proteção de perímetro, monitoramento do ambiente, criptografia, entre outros. A impressão é de que há camadas de proteção suficientes para proteger toda a superfície de ataque, mas há um risco muito maior que precisa ser mitigado: o usuário.

Uma boa parte das violações de dados ainda se deve a erros básicos dos usuários, seja por ignorância, inocência ou negligência. Para evitar esse tipo de problema, é comum o investimento em treinamentos para propagar boas práticas, mas eles nem sempre são suficientes.

No início deste mês, por exemplo, o COO da Defense Health Agency, dos Estados Unidos, Servio Medina, revelou que todas as invasões bem-sucedidas à rede em 2015 podem ser rastreadas até sua origem, que geralmente é em um ou mais erros humanos que permitiram ao hacker ganhar acesso à rede e, em alguns casos, explorar informações críticas.

Quando falamos em erros humanos, não falamos apenas do usuário comum que abre um e-mail infectado porque estava distraído, mas também de erros relacionados à própria gestão dos sistemas, como falhas de configuração e má gestão de patches. Entre os erros cometidos pelo próprio usuário estão ainda a definição de senhas fracas, o envio incorreto de dados sensíveis e outras práticas inseguras, como compartilhar senhas e conectar dispositivos pessoais à rede corporativa.

Pode parecer fácil corrigir esses erros, mas, na prática, o elemento humano é bem mais difícil de ser eliminado. Treinamentos não são suficientes porque é preciso criar uma cultura de cibersegurança e também um ambiente capaz de minimizar os riscos de que um erro humano gere algo mais sério.

Mitigando o elemento humano

Segundo o Global Information Security Survey, da Ernst & Young, divulgado em maio deste ano, 63% das empresas brasileiras não têm programas para prevenir ameaças cibernéticas. Além disso, 44% das empresas se sentem vulneráveis a ataques causados por funcionários e 34% se sentem vulneráveis a violações geradas por sistemas desatualizados. Esse tipo de erro pode ser prevenido com a mitigação do elemento humano.

Existe uma série de estratégias que podem ajudar as empresas a reduzir as chances de serem impactadas por um erro humano, sendo:

Soluções automatizadas

O uso de soluções de criptografia, gestão de senhas e regras de autenticação e acesso reduzem a possibilidade de erro. Boas ferramentas de detecção também podem ajudar a equipe corrigindo automaticamente situações problemáticas antes que elas se tornem um incidente ou, pelo menos, emitindo alertas.

Programa de Conscientização

Um programa de conscientização em segurança também é importante para reduzir o impacto dos erros humanos, mas não adianta apenas montar um cronograma de treinamentos. É preciso criar estratégias de apoio à execução de tarefas diárias, como checklists, campanhas por e-mail (phishing controlado), procedimentos padronizados e medidas disciplinares.

Testes de Segurança

Os testes de segurança também podem ajudar, revelando aos usuários suas próprias vulnerabilidades e permitindo que as empresas identifiquem alvos fáceis e contas privilegiadas que precisam ser monitoradas constantemente. Assim, a organização pode criar um programa de treinamento mais abrangente, com conteúdos específicos para executivos e usuários com contas com altos níveis de privilégio, e ainda desenvolver ações diferenciadas para atingir os usuários de acordo com suas vulnerabilidades.

* Flávio Shiga é gerente da iBliss

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365