Ameaças cibernéticas: não é apenas um negócio, é pessoal

0

A era digital trouxe consigo uma série de novos desafios, especialmente o ataque indesejável e implacável de ransomware e outras ameaças. Isso foi agravado pela pandemia e pelo local de trabalho híbrido, que ampliou a superfície de ataque para phishing e outros ataques de engenharia social que visam os escritórios domésticos e os dados dos funcionários.

Como profissionais de segurança e TI, fizemos o possível para defender nosso ambiente adequadamente. Fortalecemos nosso perímetro, mantivemos nossos controles de endpoint, patches de segurança, adotamos princípios orientadores de confiança zero e introduzimos estratégias de proteção de dados mais proativas e rigorosas. É um campo de batalha em constante evolução com complexidades e desafios. Fazemos isso na velocidade dos negócios, enquanto estamos atentos aos nossos gastos para gerenciar riscos e oferecer um ótimo serviço aos nossos clientes.

Hoje, na maioria dos casos, você é o profissional de segurança ou TI da sua família. E os dados (e as ameaças subsequentes) vão aonde quer que nossos funcionários vão, o que é mais um motivo para estender os programas de conscientização e treinamento em segurança cibernética fora do escritório para garantir que nosso pessoal esteja pronto para ser a primeira linha de defesa.

Os hackers visam a preguiça e a falibilidade humanas para seus ataques mais eficazes. A engenharia social não pode existir sem que ambos estejam presentes. Para fortalecer o elemento humano, você precisa evitar que a preguiça e a falibilidade sejam aplicáveis. Ao eliminar sistematicamente ambos, você elimina as chances de engenharia social e phishing funcionarem em primeiro lugar. No entanto, a preguiça e a falibilidade apresentam suas próprias ameaças.

A preguiça muitas vezes decorre da falta de conhecimento e da falta de transparência. Como você pode saber qual é a postura da organização se ninguém lhe diz nada? Deve haver clareza e transparência sobre quais são as políticas da empresa e por quê elas existem; caso contrário, é fácil ignorá-las. Um funcionário pode segui-las no primeiro dia em que estiverem lá? Se eles não puderem, você precisa de um novo conjunto de regras ou de novos funcionários.

Aqui estão minhas recomendações para isso:

  • Primeiro, se ainda não o fez, investir em programas contínuos de conscientização precisa ser uma de suas prioridades. A proteção não se limita a uma pessoa ou equipe. Um CISO e sua equipe de profissionais de segurança são essenciais para um programa de segurança, mas a verdadeira força está nos números. Em outras palavras, ao educar e envolver toda a organização nos protocolos de segurança online, as empresas podem estar mais bem equipadas para ameaças cibernéticas. Isso começa ensinando-os a reconhecer e-mails de phishing ou links maliciosos contendo malware; técnicas de prevenção de roubo de identidade; e use as práticas recomendadas de criptografia e senha.
  • Em seguida, você precisa incentivá-los a tomar medidas proativas para proteger suas redes domésticas e de escritório, o que inclui vigilância de segurança física, protegendo seus dispositivos e vigiando seus arredores. Manter atualizações regulares de software e patches de segurança; protegendo suas redes sem fio domésticas; criptografar dados e arquivos confidenciais para garantir o acesso autorizado; definir senhas fortes e exclusivas; e usando a autenticação multifatorial como uma camada extra de proteção. Francamente, é uma boa higiene para o trabalho e para casa.
  • Por último, mas certamente não menos importante, como CISO ou profissional de TI, você também precisa ser pessoal criando uma atmosfera em que os funcionários se sintam à vontade para fazer perguntas sobre proteção de dados. Esse conforto, confiança e linha de comunicação aberta são essenciais para se envolver com seu local de trabalho e para que os funcionários assumam suas medidas de segurança.

Não basta esperar que você não seja afetado por um incidente ou violação. Isso é improvável nos dias de hoje. Sabemos que é apenas uma questão de tempo até você ser atacado. E os ataques cibernéticos tornaram-se cada vez mais sofisticados, com invasores mal-intencionados usando uma variedade de táticas para obter acesso a ativos e a informações confidenciais para interromper seus negócios ou sua vida pessoal. E-mails de phishing, campanhas de ransomware e downloads de malware são apenas o começo. Portanto, certifique-se de que seus funcionários sejam treinados, engajados e prontos para qualquer tipo de incidente que possa vir a acontecer.

Bruno Lobo, diretor-geral da Commvault para América Latina e autor do livro "HumanOS: A chave em cibersegurança".

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.