Ao longo dos anos, conheci inúmeros proprietários de empresas ao lidar com assuntos sobre segurança da informação. Quando pergunto a eles o que acreditam ser o maior risco para seus dados, quase sempre recebo respostas confusas. Alguns apontam os vírus ou ransomwares (softwares nocivos que bloqueiam o acesso e cobram para restabelecê-lo, sob pena de divulgação ou destruição dos dados), outros mencionam falhas no disco rígido ou problemas de back up. Há, ainda, aqueles que nunca pensaram sobre isso. Mas a verdade pode surpreendê-los. Segundo a minha experiência, o maior risco de segurança para as organizações é, na realidade, os seus funcionários. Segundo o relatório de 2018 sobre violação de dados da Verizon, 58% de todas as invasões nos sistemas de saúde envolveram atores internos.
VEJA TAMBÉM: Segurança do iPhone pode ser burlada por menos de US$ 10
Os próprios funcionários, ou usuários, são o maior risco uma vez que qualquer pessoa – com ou sem habilidades técnicas – pode explorar os sistemas. O termo técnico para isso é “engenharia social” e funciona com mais frequência do que as pessoas imaginam. A solução seria demitir todo o seu time, deixando um ambiente perfeitamente seguro? Não. Então, a recomendação é treinar os usuários para identificar os riscos de segurança antes que eles cheguem ao local de trabalho. Há muito em jogo: segundo um estudo recente da Forrester, dois terços de todas as organizações tiveram, em média, cinco ou mais violações nos últimos dois anos.
Encorajamos todos os nossos clientes a realizarem treinamentos trimestrais sobre conscientização de segurança. Faça perguntas e oferece recompensas para respostas corretas a questões como: “Devemos abrir anexos enviados em e-mails de desconhecidos?”. Nós todos fomos ensinados a não aceitar doces de estranhos, então este não é realmente um conceito novo. Você pode pensar que é um exemplo simplista, mas isso acontece com frequência. A pesquisa mostra que 37% das despesas com ransomwares são provenientes de um anexo de e-mail, 27% dos links do correio eletrônico e 16% de sites. Isso significa que 83% das infecções por softwares nocivos poderiam ter sido evitadas com treinamento adequado.
Por isso, é preciso entender: seus usuários sabem como identificar chamadas de suporte de TI recebidas de forma legítima? Mais uma vez, é muito comum recebermos chamadas de TI fraudulentas. Um cliente me ligou certa vez dizendo que estava com a Microsoft na linha. Era uma farsa e funcionou. O usuário permitiu que a pessoa que alegava ser da companhia acessasse seu computador. O golpista obteve todas as informações confidenciais e críticas da empresa.
Todas as chamadas de fornecedores de tecnologia devem devem ser encaminhadas para um representante de TI em quem você confia. Minha empresa é frequentemente contratada para concluir auditorias de segurança, que incluem uma avaliação física do ambiente profissional. Seus funcionários sabem como verificar quem está sentado em sua área de trabalho ou solicitando permissão para entrar em seus servidores? Pode surpreendê-lo saber que, muitas vezes, eu e meu time pelos temos acesso a tudo, sem que ninguém pergunte quem somos ou por que estamos lá. Em uma ocasião, nós até pedimos a um segurança que abrisse o acesso ao local onde ficava o servidor. Em outra, passamos várias horas andando pelos três andares de um edifício, sem controle ou monitoramento. Durante esse período, encontramos uma sala de conferência que fazia login como administrador de domínio com atalhos para todas as unidades de RH, administração e finanças. Conseguimos tirar uma cópia de todos os dados da empresa sem perguntas.
E AINDA: Facebook detecta violação de segurança
Qualquer um que afirme ser de TI deve ser inspecionado por alguém que saiba da visita ou que conheça o indivíduo de encontros anteriores. Mais uma vez, isso pode parecer óbvio, mas, de acordo com a minha vivência, esse tipo de erro dos funcionários acontece com uma regularidade alarmante e custa às empresas tempo e dinheiro. Segundo análises estatísticas, as violações de dados em todo o mundo podem custar US$ 8 trilhões entre 2017 e 2022.
Por tudo isso, recomendo que você dedique um pouco mais de tempo a cada reunião de equipe ou revisão trimestral do departamento e lembre ao seu time como usar com segurança os computadores e seu papel em manter a empresa segura.
A tecnologia está em constante expansão e é parte integrante das empresas nos dias de hoje. A segurança precisa ser uma prioridade máxima. Logo, implementar o treinamento rotineiro do usuário junto à medidas de segurança existentes fará com que você economize tempo, dinheiro e estresse.
Veja, na galeria de imagens a seguir, 6 tópicos importantes para atualizar e treinar seu time trimestralmente:
-
GettyImages 1. E-mail é para comunicação profissional, portanto, não abra nada que não esteja relacionado ao trabalho e não verifique sua caixa pessoal em um computador da empresa.
-
GettyImages 2. Não clique em hiperlinks de e-mails. Em vez disso, copie-os para um navegador ou aprenda a passar o mouse sobre um endereço para ver se é real – isso mostrará o destino codificado.
-
GettyImages 3. No que diz respeito às regras e procedimentos da sua empresa para obter e permitir suporte para acessar o computador, o ideal é que os funcionários assinem um novo documento de política de uso apropriado (AUP) a cada ano. Os itens deste arquivo devem ser abordados em suas discussões trimestrais.
-
GettyImages 4. Sobre alterações e requisitos de senha: lembre seus funcionários de não usarem os nomes de seus animais de estimação ou datas de nascimento. As senhas devem ser aleatórias e sem significado, e nunca devem ser compartilhadas.
-
Anúncio publicitário -
GettyImages 5. Não forneça a senha do wi-fi interno da empresa.
-
6. Não use dispositivos pessoais na rede wi-fi do trabalho – use a rede de convidados, se disponível.
1. E-mail é para comunicação profissional, portanto, não abra nada que não esteja relacionado ao trabalho e não verifique sua caixa pessoal em um computador da empresa.