Por que o fator humano é a última barreira de segurança da informação?
Ser humano é a última barreira de segurança da informação. Ele pode ser a maior fortaleza ou a maior fragilidade da organização.
Matheus Jacyntho e Rodrigo de Castro Schiavinato. (Foto: Divulgação)
Imagine a seguinte situação: chegou o momento do pagamento do bônus sobre os resultados. Centenas de funcionários estão ansiosos para saber quando e quanto irão receber. De repente, todos recebem um e-mail com remetente da empresa e a seguinte mensagem: “Seu PLR já foi calculado. Acesse o link abaixo da intranet para saber o valor.” Um dos colaboradores acha aquilo estranho e reporta o caso para a TI. Tarde demais! Dezenas de pessoas já clicaram e passaram as suas senhas para o hacker, que conseguiu a chave da porta de entrada para os sistemas e dados da empresa.
Cenários como esse comprovam que o ser humano é a última barreira de segurança da informação. Ele pode ser a maior fortaleza ou a maior fragilidade da organização. Ou seja, mesmo que uma empresa invista pesadamente em tecnologias, os seres humanos ainda podem causar fragilidades nos sistemas de informação. Isso ocorre porque as pessoas são propensas a erros, como clicar em links maliciosos, digitar senhas inseguras e fornecer informações pessoais a terceiros não autorizados.
Essa afirmação não é só palavras ao vento. Há números que lastreiam isso. De acordo com o Fórum Econômico Mundial, 95% dos incidentes de segurança cibernética ocorrem devido a erro humano. O consentimento de pessoas em passar dados sigilosos que permitem os criminosos avançarem nas barreiras de cibersegurança acontece porque elas sequer sabem que estão fazendo algo errado. E, do outro lado da ponta, temos a engenharia social, que é uma técnica utilizada por hackers para enganar as pessoas a revelar informações confidenciais ou tomar ações que possam comprometer a segurança.
Os hackers podem usar uma variedade de técnicas de engenharia social, incluindo:
• Phishing: neste caso, os hackers enviam e-mails falsos que parecem ser de fontes confiáveis, como os bancos ou as empresas de tecnologia. Esses e-mails geralmente solicitam que as pessoas cliquem em links maliciosos ou forneçam informações pessoais, como senhas ou números de cartão de crédito.
• Vishing: aqui, os criminosos realizam chamadas telefônicas falsas que parecem ser de fontes confiáveis. Mais uma vez, solicitam informações pessoais, como senhas ou números de cartão de crédito.
• Pretexting: nessa modalidade, os hackers se passam por alguém que tem autoridade ou conhecimento com o objetivo de ter acesso a informações confidenciais ou tomar ações que possam comprometer a segurança.
• Tailgating: a técnica acontece quando os hackers seguem alguém para dentro de um prédio ou local seguro.
• Dumpster diving: os criminosos vasculham latas de lixo em busca de informações confidenciais, como senhas ou números de cartão de crédito. E contra este tipo de ataque, não há nenhuma barreira tecnológica melhor do que capacitar o próprio ser humano para bloquear as tentativas.
Se tiver que elencar um desses ataques como prioritários na condução de ações de proteção das empresas, seria o de phishing. Isso porque os criminosos estão usando técnicas cada vez mais avançadas para enganar os funcionários, incluindo o uso de logotipos e nomes de empresas conhecidas, bem como a criação de e-mails que parecem ser urgentes ou importantes. Em muitos casos, o hacker coleta informações de eventos importantes da organização e, a partir disso, monta os e-mails.
Mas, a boa notícia é que o mercado já dispõe de algumas soluções para ajudar as empresas a testar o comportamento humano em situações de engenharia social, contemplando ferramentas de disparo de testes de phishing, monitoramento e sinalização de e-mails suspeitos, além da capacitação de colaboradores para que não caiam nessas ciladas.
Com esses tipos de tecnologia é possível:
• Criar um programa de conscientização em segurança personalizado para a organização. Esses cursos podem ensinar aos funcionários como identificar e evitar e-mails de phishing, além de responder a ataques.
• Eliminar os treinamentos antigos “Next-Next-Finish”. Essas plataformas apresentam treinamentos modernos em segurança, ajudando a manter os usuários atentos aos riscos atuais.
• Permitir aos usuários denunciar e-mails de phishing a partir da implementação do “Phish Alert Button” no seu cliente de e-mail. Desta maneira, a equipe de resposta a incidentes poderá identificar e responder mais rapidamente às ameaças em e-mail.
Independente da solução aplicada, avaliar, conscientizar e monitorar o ambiente de trabalho é a melhor solução para fazer o upgrade de segurança dos colaboradores da organização.
*Matheus Jacyntho é diretor de Cibersegurança e Rodrigo de Castro Schiavinato é diretor-executivo de parcerias e inovação e sócio, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.