A cibersegurança não é puramente uma questão técnica. Para alcançar uma segurança ideal, deve-se usar uma abordagem bidimensional onde não apenas a infraestrutura tecnológica é considerada, mas também o fator humano.
95% das violações de segurança de TI são causadas por erro humano. E é claro que isso não é algo que passa despercebido aos olhos dos cibercriminosos. Mas, essa é uma moeda de dois lados: se os funcionários são tidos como o elo mais fraco na cadeia de segurança cibernética, eles são também a primeira e principal linha de defesa contra o crime on-line.
Se mesmo pequenos erros humanos ajudam os invasores a contornar os controles, esse é um risco que deve ser minimizado e a mudança de comportamento começa com o conhecimento. Quando todos os funcionários assumem a responsabilidade pela segurança, toda a organização se beneficia.
O treinamento de segurança visa fazer com que os funcionários compreendam que as soluções técnicas só podem garantir a segurança de forma limitada e que os riscos diminuem quando eles adotam práticas seguras nas atividades cotidianas. A rápida detecção de um ataque cibernético ou de uma tentativa de engenharia social pode evitar muitos danos econômicos e imateriais. Portanto, a cultura de segurança deve buscar a conscientização de segurança, bem como o treinamento regular como medidas preventivas importantes para fortalecer o fator de segurança humano.
As ameaças mais importantes devem ser conhecidas e as expectativas em relação à segurança da informação na empresa devem ser claramente comunicadas aos funcionários. Isso estabelece a base para o manuseio sensível de dados.
Aqui está uma lista dos cinco erros mais comuns de empresas e funcionários e o que pode ser feito para corrigi-los:
1 – Abrir e-mails de pessoas desconhecidas
O e-mail é uma das ferramentas de comunicação mais úteis atualmente. É comum que uma mesma pessoa receba inúmeros e-mails por dia e muitos desses podem ser fraudulentos. Ao abrir um anexo de um e-mail desconhecido o funcionário pode liberar um vírus que permite que os cibercriminosos acessem todos ou parte dos dados da empresa. Para minimizar o problema, é aconselhável que os funcionários sejam orientados a não abrirem e-mails de pessoas que não conhecem e especialmente não clicar em anexos e links que possam conter neles.
2 – Usar as mesmas credenciais de login em diferentes lugares
Uma parte expressiva dos usuários de internet utilizam o mesmo nome de usuário e senha para todos os casos. A combinação de outras informações pessoais como nome e ano de nascimento de pessoas queridas nas senhas é um outro fator de risco. Os cibercriminosos têm programas que geram e verificam senhas com base em informações pessoais, por isso, recomenda-se que a organização exija que os funcionários usem senhas exclusivas para seus logins empresariais e que aumentem a segurança, adicionando números e símbolos à senha. E se eles têm motivos para acreditar que suas credenciais estão em perigo, que mude-os.
3 – Acesso irrestrito a todos os arquivos da empresa
Em muitos casos, desde os estagiários da organização até os membros do conselho, todos podem acessar os arquivos da empresa. A igualdade de acesso aos dados aumenta o número de pessoas que podem ser usadas como brechas para vazamento de informações, perda ou uso indevido de informações. Ajustar os níveis de acesso regularmente e permitir acesso diferenciado em cada nível limita o número de pessoas que podem alterar a configuração do sistema ou favorecer um ataque hacker.
4- Falta de treinamento
Pesquisas mostram que a maioria das empresas oferece treinamento em segurança cibernética. No entanto, uma baixa porcentagem dos executivos de negócios acreditam que esse treinamento é eficaz. Fornecer treinamento anual de conscientização sobre segurança cibernética alertando sobre phishing, golpes online, gerenciamento de senhas, de dispositivos móveis devem ser rotinas desenvolvidas e revisadas regularmente para que os funcionários entendam que a segurança digital é algo que nunca termina.
5- Falta de atualização do software antivírus
Sua empresa deve instalar um software antivírus como proteção, mas não cabe aos funcionários atualizá-lo. Algumas empresas pedem aos funcionários para atualizar e eles podem decidir se essas atualizações serão feitas. Os funcionários provavelmente escolherão não atualizar quando estiverem no meio de um projeto porque muitas atualizações os forçam a fechar programas ou reiniciar o computador. Se as atualizações de antivírus são importantes, devem ser implementadas imediatamente e não devem ser realizadas por qualquer funcionário.
À medida que o número de ameaças e incidentes de segurança continua aumentando, aumenta também a necessidade das organizações protegerem suas informações. O portfólio de soluções ntos específicos do setor de TI conforme o nível de maturidade de sua segurança de TI. Se você tiver alguma dúvida, nossos especialistas em segurança terão prazer em ajudá-lo. Entre em contato conosco!
Referências:
https://www.kaspersky.com.br/blog/best-practices-for-workplace/11162/
https://www.kaspersky.com.br/about/press-releases/2018_kaspersky-lab-identifica-mensagens-de-phishing-tentando-roubar-credenciais-de-universidades
