Reduza o impacto das falhas humanas na cibersegurança

0

Atualmente é comum o investimento em uma infraestrutura de segurança em camadas, com sistemas de proteção de perímetro, monitoramento do ambiente, criptografia, entre outros. A impressão é de que há camadas de proteção suficientes para proteger toda a superfície de ataque, mas há um risco muito maior que precisa ser mitigado: o usuário.

Uma boa parte das violações de dados ainda se deve a erros básicos dos usuários, seja por ignorância, inocência ou negligência. Para evitar esse tipo de problema, é comum o investimento em treinamentos para propagar boas práticas, mas eles nem sempre são suficientes.

No início deste mês, por exemplo, o COO da Defense Health Agency, dos Estados Unidos, Servio Medina, revelou que todas as invasões bem sucedidas à rede em 2015 podem ser rastreadas até sua origem, que geralmente é em um ou mais erros humanos que permitiram ao hacker ganhar acesso à rede e, em alguns casos, explorar informações críticas.

Quando falamos em erros humanos, não falamos apenas do usuário comum que abre um e-mail infectado porque estava distraído, mas também de erros relacionados à própria gestão dos sistemas, como falhas de configuração e má gestão de patches. Entre os erros cometidos pelo próprio usuário estão ainda a definição de senhas fracas, o envio incorreto de dados sensíveis e outras práticas inseguras, como compartilhar senhas e conectar dispositivos pessoais à rede corporativa.

Pode parecer fácil corrigir esses erros, mas, na prática, o elemento humano é bem mais difícil de ser eliminado. Treinamentos não são suficientes porque é preciso criar uma cultura de cibersegurança e também um ambiente capaz de minimizar os riscos de que um erro humano gere algo mais sério.

Mitigando o elemento humano

Segundo o Global Information Security Survey, da Ernst & Young, divulgado em maio deste ano, 63% das empresas brasileiras não têm programas para prevenir ameaças cibernéticas. Além disso, 44% das empresas se sentem vulneráveis a ataques causados por funcionários e 34% se sentem vulneráveis a violações geradas por sistemas desatualizados. Esse tipo de erro pode ser prevenido com a mitigação do elemento humano.

Existe uma série de estratégias que podem ajudar as empresas a reduzir as chances de serem impactadas por um erro humano, sendo:

Soluções automatizadas

O uso de soluções de criptografia, gestão de senhas e regras de autenticação e acesso reduzem a possibilidade de erro. Boas ferramentas de detecção também podem ajudar a equipe corrigindo automaticamente situações problemáticas antes que elas se tornem um incidente ou, pelo menos, emitindo alertas.

Programa de Conscientização

Um programa de conscientização em segurança também é importante para reduzir o impacto dos erros humanos, mas não adianta apenas montar um cronograma de treinamentos. É preciso criar estratégias de apoio à execução de tarefas diárias, como checklists, campanhas por e-mail (phishing controlado), procedimentos padronizados e medidas disciplinares.

Testes de Segurança

Os testes de segurança também podem ajudar, revelando aos usuários suas próprias vulnerabilidades e permitindo que as empresas identifiquem alvos fáceis e contas privilegiadas que precisam ser monitoradas constantemente. Assim, a organização pode criar um programa de treinamento mais abrangente, com conteúdos específicos para executivos e usuários com contas com altos níveis de privilégio, e ainda desenvolver ações diferenciadas para atingir os usuários de acordo com suas vulnerabilidades.

Flávio Shiga, gerente da iBliss.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.