As companhias precisam trabalhar a educação sobre segurança da informação com os colaboradores. Afinal, o risco de ataques é um dos principais problemas de negócios a ser gerenciado e não envolve apenas questões de tecnologia
*Por Pedro Lyra
As empresas estão cada vez mais dependentes da tecnologia para a realização de atividades diárias. Contudo, com o aumento do uso de dispositivos eletrônicos e a crescente sofisticação dos ataques cibernéticos, é preciso estar atento à segurança digital. Uma das principais ameaças é a fraude cibernética, que pode causar perdas financeiras significativas e danos à reputação. Muitas dessas ameaças se concretizam por conta de falhas no uso de plataformas e sistemas utilizados pelas empresas, e isso é amplamente respaldado por diferentes pesquisas nos últimos anos.
Segundo o Relatório de Violação de Dados da Verizon de 2022, por exemplo, 25% do total de violações vieram de ataques de engenharia social e, quando adicionados erros humanos e uso indevido de privilégio, o elemento responde por 82% das análises em 2021. Em outro levantamento realizado pela IBM Security em 2020, vê-se que 50% das fraudes de segurança ocorreram devido a comportamentos negligentes ou mal-intencionados dos funcionários. Há também um estudo realizado pela Shred-it, empresa especializada em proteção de dados, em que 88% dos colaboradores admitem ter cometido erros que colocaram em risco a segurança de informações das empresas.
Todos esses dados indicam um fator fundamental: as companhias precisam trabalhar a educação sobre segurança da informação com os colaboradores. Afinal, o risco de ataques é um dos principais problemas de negócios a ser gerenciado e não envolve apenas questões de tecnologia.
Os funcionários devem saber como equilibrar uma série de riscos, incluindo os ativos digitais, financeiros, reputacionais, competitivos e legais de seu local de trabalho. O tema também deve se conectar ao valor empresarial, medindo e relatando o sucesso em relação aos resultados e às prioridades.
Tradicionalmente, os líderes se concentram em melhorar a tecnologia e os processos que fornecem suporte a seus programas, com pouco foco nas pessoas que criam essas mudanças. E, em alguns casos, acontecem acidentes, especialmente no mundo da tecnologia, em que existem diversas operações complexas e sistemas que exigem aprimoramentos constantes, inclusive para corrigir vulnerabilidades.
Como não é fácil prever quando ou onde algo pode dar errado, reduzir o prejuízo desse tipo de incidente é um desafio cada vez maior. Segundo o Gartner, até 2026, 60% das organizações vão substituir a contratação externa pela “contratação silenciosa”, quando profissionais da própria empresa passam a assumir novas responsabilidades. Esse movimento estaria ligado ao objetivo de enfrentar cenários sistêmicos de segurança cibernética e de recrutamento.
Ainda assim, podem ocorrer falhas. Na nuvem pública, por exemplo, um pequeno descuido na hora de criar uma máquina virtual ou espaço de armazenamento pode expor uma informação na web sem que houvesse essa intenção. Em cenários mais complexos, pode existir uma somatória de fatores e até confusão na hora de identificar uma vulnerabilidade. É o caso de sistemas de uso corporativo que acabam permitindo o vazamento após uma migração incompleta de um firewall. E esse tipo de problema diz muito respeito ao Brasil. Segundo a empresa de soluções de segurança Tenable, mais de 40% do total de dados expostos no mundo tem como origem o nosso País.
Contudo, não é incorreto dizer que muitos dos casos conhecidos de exposição acidental ocorrem pela ausência de medidas básicas de segurança. O acesso a uma base como essa é controlado por meio dos privilégios concedidos a colaboradores, fornecedores ou usuários. Quanto mais abrangentes forem as permissões de um indivíduo ou canal (um aplicativo, uma API, um sistema interno etc.), o risco vinculado a esse meio de acesso tende a ser maior.
Listo aqui algumas dicas de segurança para empresas:
Conscientização: a primeira etapa para a segurança digital é a conscientização. As empresas devem educar os colaboradores sobre a importância e os riscos associados à fraude cibernética. É fundamental que as pessoas entendam seus papéis e responsabilidades para mitigar golpes.
Políticas de segurança: estabelecer regras de segurança claras e objetivas que contenham orientações sobre o uso de dispositivos eletrônicos, a proteção de senhas e o acesso a informações confidenciais. É essencial que sejam atualizadas regularmente para garantir que estejam alinhadas com as ameaças mais recentes.
Treinamento: é importante investir em treinamentos que abordem os principais tipos de ataques/fraudes cibernéticas, como phishing, malware e ransomware, além de ensinar como identificar e evitar esses ataques, bem como, nos times de segurança responsáveis por identificar, prevenir, proteger, detectar, analisar, responder e recuperar todo o ambiente de tecnologia da empresa.
Uso de tecnologias de segurança: investir em antivírus, firewalls e softwares de criptografia. As soluções podem ajudar a proteger os sistemas da empresa contra ataques cibernéticos e reduzir os riscos de fraude.
Testes de segurança: realizar análises regulares para identificar vulnerabilidades em sistemas e aplicativos, que devem ser realizados por especialistas em segurança digital e incluir testes de phishing e outros tipos de ataques cibernéticos.
Mapear ou evitar ameaças em ambientes complexos e conectados é uma tarefa complicada e cada vez mais necessária, em tempos de avanços da tecnologia. Felizmente, é possível mitigar os impactos por meio de medidas constantes com seus colaboradores entre outras práticas que fomentem a segurança como um todo.
*Pedro Lyra é Diretor de Segurança da Informação da Zup.
