Sua maior ameaça à segurança de TI não é quem você pensa que é.
Quando visualizamos uma ameaça cibernética, visualizamos um hacker; uma pessoa sombria em um moletom, curvada sobre uma mesa com várias telas de computador, paredes de código binário verde piscando nos monitores como se estivessem entrando na matriz, enquanto destroem rapidamente seu firewall.
Na realidade, a maior ameaça à sua segurança de TI está um pouco mais perto de casa. Se você está sentado lendo isto em seu escritório, eles podem ter acabado de lhe entregar um relatório ou, preferencialmente, um café.
É muito mais provável que seus funcionários causem uma violação em seu sistema de TI do que um hacker mexendo em seu teclado. Mais do que 90% das violações de dados são o produto de erro humano.
O que seus funcionários podem estar fazendo de errado?
A forma mais comum de violação de dados relacionados a humanos é cair em e-mails de phishing simples. Não são hackers engenhosos que representam o perigo real para seus sistemas, mas sim redatores inteligentes e criativos que podem criar e-mails e mensagens tão convincentemente reais que seus funcionários acreditam que sejam genuínos.
Os funcionários distribuem senhas, dados pessoais e arquivos criptografados totalmente tranquilos com a ideia de que estão se comunicando com um colega ou com uma organização oficial, para depois descobrirem que foram enganados.
Mas, embora os e-mails de phishing possam constituir a maior parte dos problemas, eles não são o único problema.
Deixar dispositivos com acesso aos seus sistemas em locais públicos, compartilhar acidentalmente arquivos com pessoas erradas, conectar dispositivos pessoais ao seu sistema de TI que contêm malware; existem várias maneiras pelas quais seus funcionários podem sabotar acidentalmente sua segurança cibernética internamente.
Mas todo problema tem solução.
Como impedir quebras de dados relacionadas a funcionários
Não é uma coisa ruim que os funcionários sejam sua maior ameaça à segurança cibernética. Ao contrário de hackers de terceiros e cibercriminosos que pretendem causar danos, esses indivíduos não são seus inimigos. Você tem o poder de influenciar as decisões e comportamentos de seus funcionários de uma forma que proteja seu local de trabalho.
Reduza a interação humana
São regras simples de probabilidade. Se o erro humano for o principal fator que contribui para as violações cibernéticas, quanto mais pessoas tiverem acesso a sistemas e informações de TI importantes, maior será a probabilidade de ocorrer uma violação.
Remova o humano, remova o erro. Reduzir o número de funcionários que têm acesso a sistemas confidenciais protege sua empresa.
Ferramentas de automação, como software de entrada automatizada de dados, podem impedir as pessoas de serem responsáveis pelos dados do cliente. Os sistemas automatizados não podem cair em emails de phishing ou introduzir malware em seus servidores; portanto, substituir os processos de entrada humana por processos de entrada da máquina reduz a chance de violações do sistema.
Uma ferramenta recomendada para proteger especificamente os dados de login por meio da entrada automatizada de dados é Última passagem.
Este é um sistema onde as credenciais são atribuídas a uma conta pertencente a cada membro de sua equipe. Se eles recebessem uma solicitação de informações de login de outro membro da equipe, eles iriam compartilhá-la com a conta LastPass dessa pessoa, em vez de diretamente. Se a solicitação for genuína, a pessoa correta obterá as informações. Se a solicitação for uma solicitação falsa de alguém se passando por membro da equipe solicitando detalhes de login, o cibercriminoso não será conectado à conta LastPass. Portanto, quando as informações são compartilhadas por seu funcionário na crença de que essa é uma solicitação legítima, o cibercriminoso não pode acessá-la.
Você também pode reduzir o número de funcionários que acessam seu sistema atribuindo responsabilidades de forma mais estratégica, por exemplo, você dá a um membro de sua equipe o controle geral dos dados financeiros do cliente. Eles podem compartilhar informações, se necessário, com colegas, mas mantêm a responsabilidade exclusiva. Isso significa que você só tem uma pessoa em risco de violação de dados das finanças do consumidor, e não se todos em sua equipe tivessem acesso a esses dados.
Definição de diretrizes e regulamentos
Uma política interna clara e detalhada pode fazer uma grande diferença nas chances de você ser atingido por ataques cibernéticos relacionados a erros humanos. Ao definir regras que ajudam a prevenir ações que poderiam beneficiar os cibercriminosos, você pode impedir que os funcionários realizem uma atividade que, de outra forma, teria prejudicado o seu negócio.
Por exemplo, ter uma política interna que rege o compartilhamento ou uso de detalhes de login, como apenas distribuir informações de login por instrução direta de um membro da equipe específico ou nunca inserir informações de login por meio de um link clicável em um e-mail e apenas usar canais diretos, podem eliminar certos fatores de risco para sua segurança cibernética.
Esses tipos de processos também ajudam a alertar sua equipe sobre atividades fraudulentas. Suponha que a política interna é nunca solicitar senhas por e-mail ou texto, mas eles recebem uma solicitação por meio de uma dessas plataformas; eles saberão instantaneamente que a solicitação provavelmente não virá de um colega.
Educação de Risco
O erro humano é exatamente isso – um erro, um engano. É mais fácil cometer erros se você não souber o que está fazendo. Se você não sabe o que procurar em e-mails de phishing, se não sabe que o malware pode saltar do seu laptop pessoal para a rede de computadores da empresa quando você o conecta, não sabe que está arriscando a segurança cibernética da empresa.
A maioria das pessoas está ciente das ameaças cibernéticas básicas, mas muitos indivíduos não estão preparados para o nível de complexidade que agora envolve as tentativas de phishing e infiltração de malware. Sua equipe pode estar procurando e-mails de aparência duvidosa, mas tentativas bem-sucedidas de violações cibernéticas raramente são tão amadoras. Os especialistas em phishing usarão regularmente as mídias sociais, informações públicas e outras vias de exploração específica e direcionada para obter acesso a informações confidenciais. Este não é o tipo de coisa que muitas pessoas são treinadas para cuidar, e é por isso que a educação do risco por profissionais qualificados Especialistas em serviços de segurança de TI é potencialmente a forma mais poderosa de reduzir o risco de violações por erro humano.
Quanto mais avançado for o treinamento, mais complexidades de como as violações de dados podem ocorrer são transmitidas e compreendidas, melhores serão suas chances de evitar esse problema.
Desenvolver cultura de segurança de dados
Você pode definir diretrizes e avaliar e educar, mas se seus funcionários não levarem essas coisas a sério, será um esforço inútil. As pessoas resistem naturalmente à mudança. Nossos cérebros estão programados para manter o status quo. Para fazer com que as pessoas sigam as regras, elas precisam se preocupar em seguir as regras.
Para realmente proteger sua empresa, você deve promover um ambiente de comportamento proativo; uma cultura que não serve apenas para difamar com eficácia os padrões de comportamento negativos que colocam em risco a segurança cibernética, mas também uma cultura que recompensa os padrões de comportamento que reduzem sua probabilidade. Deixe claro o quão importante é a segurança cibernética e como compreender isso é uma característica desejável em um funcionário.
Não eduque apenas sobre o que pode acontecer, eduque sobre as consequências de uma violação cibernética.
Apresente as razões pelas quais uma violação cibernética não é apenas ‘ruim’, mas ruim para seus funcionários, ruim para seus clientes em potencial, ruim para os clientes em potencial de seus colegas, e você começará a desenvolver uma cultura unida que se opõe às consequências negativas de um violação cibernética. Não se trata apenas de fazer com que os funcionários se comportem de maneira adequada, mas de dar aos outros um senso de justificativa para falar quando sentirem que os outros estão colocando a segurança em risco.
Do blog: Futureplay
