Atualmente é comum o investimento em uma infraestrutura de segurança em camadas, com sistemas de proteção de perímetro, monitoramento do ambiente, criptografia, entre outros. A impressão é de que há camadas de proteção suficientes para proteger toda a superfície de ataque, mas há um risco muito maior que precisa ser mitigado: o usuário.
Uma boa parte das violações de dados ainda se deve a erros básicos dos usuários, seja por ignorância, inocência ou negligência. Para evitar esse tipo de problema, é comum o investimento em treinamentos para propagar boas práticas, mas eles nem sempre são suficientes.
No início deste mês, por exemplo, o COO da Defense Health Agency, dos Estados Unidos, Servio Medina, revelou que todas as invasões bem sucedidas à rede em 2015 podem ser rastreadas até sua origem, que geralmente é em um ou mais erros humanos que permitiram ao hacker ganhar acesso à rede e, em alguns casos, explorar informações críticas.
Quando falamos em erros humanos, não falamos apenas do usuário comum que abre um e-mail infectado porque estava distraído, mas também de erros relacionados à própria gestão dos sistemas, como falhas de configuração e má gestão de patches. Entre os erros cometidos pelo próprio usuário estão ainda a definição de senhas fracas, o envio incorreto de dados sensíveis e outras práticas inseguras, como compartilhar senhas e conectar dispositivos pessoais à rede corporativa.
Pode parecer fácil corrigir esses erros, mas, na prática, o elemento humano é bem mais difícil de ser eliminado. Treinamentos não são suficientes porque é preciso criar uma cultura de cibersegurança e também um ambiente capaz de minimizar os riscos de que um erro humano gere algo mais sério.
Mitigando o elemento humano
Segundo o Global Information Security Survey, da Ernst & Young, divulgado em maio deste ano, 63% das empresas brasileiras não têm programas para prevenir ameaças cibernéticas. Além disso, 44% das empresas se sentem vulneráveis a ataques causados por funcionários e 34% se sentem vulneráveis a violações geradas por sistemas desatualizados. Esse tipo de erro pode ser prevenido com a mitigação do elemento humano.
Existe uma série de estratégias que podem ajudar as empresas a reduzir as chances de serem impactadas por um erro humano, sendo:
Soluções automatizadas
O uso de soluções de criptografia, gestão de senhas e regras de autenticação e acesso reduzem a possibilidade de erro. Boas ferramentas de detecção também podem ajudar a equipe corrigindo automaticamente situações problemáticas antes que elas se tornem um incidente ou, pelo menos, emitindo alertas.
Programa de Conscientização
Um programa de conscientização em segurança também é importante para reduzir o impacto dos erros humanos, mas não adianta apenas montar um cronograma de treinamentos. É preciso criar estratégias de apoio à execução de tarefas diárias, como checklists, campanhas por e-mail (phishing controlado), procedimentos padronizados e medidas disciplinares.
Testes de Segurança
Os testes de segurança também podem ajudar, revelando aos usuários suas próprias vulnerabilidades e permitindo que as empresas identifiquem alvos fáceis e contas privilegiadas que precisam ser monitoradas constantemente. Assim, a organização pode criar um programa de treinamento mais abrangente, com conteúdos específicos para executivos e usuários com contas com altos níveis de privilégio, e ainda desenvolver ações diferenciadas para atingir os usuários de acordo com suas vulnerabilidades.
Flávio Shiga, gerente da iBliss.