Iceberg ou salva-vidas: qual é o papel do usuário na empresa?
Quando criado, o Titanic tinha como principal propaganda o fato de que era impossível de ser afundado. Porém, não contavam com um iceberg que poderia surgir e colocar todo um projeto por água abaixo. E depois de mais de 100 anos parece que lição não foi aprendida.
Não é raro encontrarmos atualmente empresas que se encontram na mesma situação que um dia esteve o navio: utilizam a segurança como diferencial sem conseguirem prever todas as ameaças que podem naufragar seus negócios.
Falando principalmente na questão de cibersegurança, que mais do que necessidade se tornou uma palavra de ordem nos últimos tempos, ficou evidente o quanto o fator humano é um pilar crucial na manutenção dela. Os últimos acontecimentos, como os ransomware WannaCry e NotPety e o ataque sofrido pela moeda digital Bithumb, são algumas das provas disso.
O inimigo trabalha na mesa ao lado?
Em uma pesquisa realizada com mais de 5 mil empresas de todo o mundo, a Kaspersky Lab quis saber qual seria o papel dos funcionários em contribuir com as empresas na luta contra o cibercrime. Como resultado, 52% delas disseram acreditar que correm um risco interno. Ou seja, mais da metade admitiu que seus usuários são sua maior fraqueza. Seja pela má fé, quanto pela falta de conhecimento que acabam resultando nos incidentes de segurança.
Talvez ainda seja cedo para dizer que o fator humano é um inimigo comum das companhias. Mas a verdade é que os três principais medos de cibersegurança apresentados por elas envolvem o comportamento dos colaboradores: Compartilhamento indevido de dados via dispositivos móveis (47%); Perda do dispositivo móvel, expondo a empresa ao risco (46%) e Uso inadequado de recursos de TI pelos funcionários (44%).
Tamanho das empresas x Preocupação com segurança
Outro ponto apresentado foi a relação da preocupação das companhias e seu tamanho no mercado. No quesito de uso inadequado dos recursos pelos usuários, percebeu-se que empresas que possuem de 1 a 49 funcionários se sentem muito mais vulneráveis a esse risco (48%) do que aquelas que têm mais de mil colaboradores (39%).
Situação que pode ter diversos motivos, entre eles o fato de que maiores organizações podem possuir Políticas de Segurança mais rígidas e um processo de conscientização maior. Ao mesmo tempo que as menores dão maior flexibilidade com relação ao uso desses recursos para os colaboradores.
Funcionários só perdem para malware
Pode ser que você se pergunte: “mas há mesmo razões para tanta preocupação?”. Para a equipe da Kaspersky sim. Isso porque o descuido ou o desconhecimento são o segundo maior motivo para uma falha séria na segurança, perdendo apenas para malwares. Conforme apresentou a pesquisa, quase metade dos incidentes no ano passado (46%) foram ocasionados por usuários desatentos ou desinformados.
Aliás, entre as organizações que tiveram um incidente de cibersegurança em 2016, um em cada 10 dos casos mais sérios aconteceu por conta de colaboradores imprudentes. Junto com o phishing, esse comportamento já é uma das principais causas para ataques direcionados e de vírus.
Como ver os icebergs em meio à escuridão?
Outro problema do comportamento inadequado dos usuários é que comumente eles não irão reportar as áreas de Segurança da Informação ou de TI sobre o acontecimento de incidentes. Seja por medo de sofrerem punições graves pelo erro, seja por realmente acreditarem que podem resolver a situação, eles acabam escondendo tais situações.
Resultado disso? Quando menos espera a empresa se depara com aquela massa de gelo enorme, impossível de ser desviada e que poderá causar danos em seu barco. Tudo por uma falta de aviso.
O que é possível fazer para sanar isso? Recursos tecnológicos e Políticas de Segurança rígidas nem sempre são a melhor opção, pois ambos não são capazes de prever todos os acontecimentos e nem pensar com a cabeça de todos as pessoas, tanto funcionários quanto criminosos. O melhor caminho é realmente a conscientização.
Tanto que ações de segurança voltadas aos usuários estão entre as táticas mais populares apontadas pelas empresas entrevistadas - treinamento foi o segundo método mais apontado. Ou seja, é mesmo preciso ensinar as pessoas a importância de mudarem seus hábitos e terem um olhar apurado aos riscos que estão a sua volta.
Ainda que não seja um produto tangível, projetos de conscientização são uma das opções essenciais para haver uma melhoria na proteção das empresas. É por meio de ações desse tipo que as empresas conseguirão criar um ambiente onde colaboradores contribuirão para a segurança, além de levarem esse conhecimento para suas vidas.
A instrução é mais do que uma luz ao final de um túnel, é o farol em meio à escuridão.