Uma das principais preocupações das empresas tem sido a proteção contra ameaças digitais. E mesmo adotando uma série de medidas, aplicativos e soluções inovadoras para evitar invasões e roubo de dados, a questão não depende apenas de tecnologias avançadas, mas também do comportamento humano. A constatação é do especialista em cibersegurança da dataRain, Leonardo Baiardi, que aponta que 74% dos ciberataques tem como causa o fator humano. O executivo destaca como o treinamento adequado dos colaboradores pode ser essencial para uma estratégia eficaz de segurança.
Baiardi considera o ser humano como o elo mais fraco, quando tratamos de riscos cibernéticos em ambiente corporativo. "Todos na empresa precisam entender que são responsáveis pela segurança dos dados, e isso só é alcançado com treinamento, responsabilização e comunicação entre as áreas. É preciso que todos estejam conscientes sobre os riscos aos quais estão expostos".
A opinião do especialista complementa o que foi constatado pelo Relatório do Fator Humano de 2023, da Proofpoint, que destaca o papel significativo dos fatores humanos nas vulnerabilidades de segurança. O estudo revela aumento em doze vezes no volume de ataques de engenharia social via dispositivos móveis, um tipo de ataque que começa com mensagens aparentemente inofensivas, gerando relacionamentos. Isto ocorre, segundo Baiardi, porque o comportamento humano pode ser manipulado. "Já dizia o lendário hacker Kevin Mitnick, que a mente humana é o ativo mais fácil de hackear. Afinal, os seres humanos possuem uma camada emocional altamente suscetível à influência externa, o que pode levar a ações precipitadas como clicar em links maliciosos ou compartilhar informações sensíveis", diz.
Kits de phishing para bypass de autenticação multifator (MFA); e ataques baseados em nuvem, nos quais cerca de 94% dos usuários são alvo de ataques todos os meses, também estão entre as ameaças mais registradas pelo relatório.
Erros mais comuns
Entre os erros mais comuns que levam a falhas de segurança, Baiardi lista: não verificar a autenticidade de e-mails; deixar computadores desbloqueados; usar redes Wi-Fi públicas para acessar informações corporativas; e adiar atualizações de software.
"Esses comportamentos podem abrir portas para invasões e comprometimento de dados", explica. Para não cair em golpes, o especialista recomenda evitar clicar em links suspeitos. Por isso, indica verificar o remetente, o domínio do e-mail e a urgência da mensagem. "Se ainda assim restarem dúvidas, uma dica é deixar o ponteiro do mouse sobre o link sem clicar, permitindo visualizar a URL completa. Se parecer suspeito, provavelmente é malicioso", informa.
Phishing
O phishing é uma das maiores ameaças cibernéticas, utilizando o e-mail corporativo como vetor de ataque. Para se proteger, Baiardi sugere uma abordagem em camadas: conscientização e treinamento para os colaboradores, além de medidas técnicas robustas.
Manter softwares e sistemas operacionais atualizados é vital para reduzir vulnerabilidades. "Novas vulnerabilidades surgem diariamente. A forma mais simples de reduzir os riscos é mantendo os sistemas atualizados. Em ambientes de missão-crítica, onde não é possível realizar atualizações constantes, é necessária uma estratégia mais robusta".
Ele traz um exemplo real de como o treinamento eficaz ajuda a prevenir ataques. "Após implementar simulações de phishing e treinamentos, observamos um aumento significativo de reportes de tentativas de phishing por parte dos funcionários, demonstrando um senso crítico mais apurado frente às ameaças".
Para medir a eficácia dos treinamentos, Baiardi sugere delimitar um escopo claro e realizar simulações periódicas com métricas pré-definidas. "É preciso medir a quantidade e a qualidade das respostas dos colaboradores a possíveis ameaças".
O executivo cita que, segundo relatório da empresa de educação em cibersegurança, Knowbe4, o Brasil ficou atrás de países como Colômbia, Chile, Equador e Peru. O levantamento de 2024 aponta a questão do colaborador entender a importância da cibersegurança, mas não compreender, de fato, como as ameaças operam e funcionam. Por isso, destaca a importância da cultura organizacional na promoção de práticas seguras: "Sem um programa bem implementado de cultura de cibersegurança, é impossível mensurar o grau de maturidade que uma empresa possui nesse aspecto".
O especialista é ainda responsável por conduzir a entrega de ofertas de cibersegurança promovidos pela dataRain, que oferece soluções robustas e rápidas de implementar, como Email Security, Assessments de Conformidade e Vulnerabilidade, Endpoint Security, e Governança em Nuvem. "A cibersegurança é um desafio contínuo, e as pessoas são peça fundamental para garantir a proteção das informações e a integridade dos sistemas. Investir em treinamento e conscientização é investir na segurança de toda a organização. E todas as nossas entregas são acompanhadas de transferência de conhecimento, que permite aumentar o grau de consciência do cliente frente às ameaças", finaliza.
