A era digital trouxe consigo uma série de novos desafios, especialmente o ataque indesejável e implacável de ransomware e outras ameaças. Isso foi agravado pela pandemia e pelo local de trabalho híbrido, que ampliou a superfície de ataque para phishing e outros ataques de engenharia social que visam os escritórios domésticos e os dados dos funcionários.
Como profissionais de segurança e TI, fizemos o possível para defender nosso ambiente adequadamente. Fortalecemos nosso perímetro, mantivemos nossos controles de endpoint, patches de segurança, adotamos princípios orientadores de confiança zero e introduzimos estratégias de proteção de dados mais proativas e rigorosas. É um campo de batalha em constante evolução com complexidades e desafios. Fazemos isso na velocidade dos negócios, enquanto estamos atentos aos nossos gastos para gerenciar riscos e oferecer um ótimo serviço aos nossos clientes.
Hoje, na maioria dos casos, você é o profissional de segurança ou TI da sua família. E os dados (e as ameaças subsequentes) vão aonde quer que nossos funcionários vão, o que é mais um motivo para estender os programas de conscientização e treinamento em segurança cibernética fora do escritório para garantir que nosso pessoal esteja pronto para ser a primeira linha de defesa.
Os hackers visam a preguiça e a falibilidade humanas para seus ataques mais eficazes. A engenharia social não pode existir sem que ambos estejam presentes. Para fortalecer o elemento humano, você precisa evitar que a preguiça e a falibilidade sejam aplicáveis. Ao eliminar sistematicamente ambos, você elimina as chances de engenharia social e phishing funcionarem em primeiro lugar. No entanto, a preguiça e a falibilidade apresentam suas próprias ameaças.
A preguiça muitas vezes decorre da falta de conhecimento e da falta de transparência. Como você pode saber qual é a postura da organização se ninguém lhe diz nada? Deve haver clareza e transparência sobre quais são as políticas da empresa e por quê elas existem; caso contrário, é fácil ignorá-las. Um funcionário pode segui-las no primeiro dia em que estiverem lá? Se eles não puderem, você precisa de um novo conjunto de regras ou de novos funcionários.
Aqui estão minhas recomendações para isso:
- Primeiro, se ainda não o fez, investir em programas contínuos de conscientização precisa ser uma de suas prioridades. A proteção não se limita a uma pessoa ou equipe. Um CISO e sua equipe de profissionais de segurança são essenciais para um programa de segurança, mas a verdadeira força está nos números. Em outras palavras, ao educar e envolver toda a organização nos protocolos de segurança online, as empresas podem estar mais bem equipadas para ameaças cibernéticas. Isso começa ensinando-os a reconhecer e-mails de phishing ou links maliciosos contendo malware; técnicas de prevenção de roubo de identidade; e use as práticas recomendadas de criptografia e senha.
- Em seguida, você precisa incentivá-los a tomar medidas proativas para proteger suas redes domésticas e de escritório, o que inclui vigilância de segurança física, protegendo seus dispositivos e vigiando seus arredores. Manter atualizações regulares de software e patches de segurança; protegendo suas redes sem fio domésticas; criptografar dados e arquivos confidenciais para garantir o acesso autorizado; definir senhas fortes e exclusivas; e usando a autenticação multifatorial como uma camada extra de proteção. Francamente, é uma boa higiene para o trabalho e para casa.
- Por último, mas certamente não menos importante, como CISO ou profissional de TI, você também precisa ser pessoal criando uma atmosfera em que os funcionários se sintam à vontade para fazer perguntas sobre proteção de dados. Esse conforto, confiança e linha de comunicação aberta são essenciais para se envolver com seu local de trabalho e para que os funcionários assumam suas medidas de segurança.
Não basta esperar que você não seja afetado por um incidente ou violação. Isso é improvável nos dias de hoje. Sabemos que é apenas uma questão de tempo até você ser atacado. E os ataques cibernéticos tornaram-se cada vez mais sofisticados, com invasores mal-intencionados usando uma variedade de táticas para obter acesso a ativos e a informações confidenciais para interromper seus negócios ou sua vida pessoal. E-mails de phishing, campanhas de ransomware e downloads de malware são apenas o começo. Portanto, certifique-se de que seus funcionários sejam treinados, engajados e prontos para qualquer tipo de incidente que possa vir a acontecer.
Bruno Lobo, diretor-geral da Commvault para América Latina e autor do livro "HumanOS: A chave em cibersegurança".