Metade dos funcionários considera a proteção contra ameaças virtuais uma responsabilidade compartilhada. Mas apenas um décimo conhece integralmente as regras e as políticas de segurança em vigor nas organizações onde trabalha, revela estudo do da Kaspersky Lab. Essa situação impõe desafios na hora de definir a estrutura de cibersegurança mais adequada para a empresa. Na recente epidemia de Ransomware WannaCry, o fator humano desempenhou um papel importante na vulnerabilidade das empresas em todo o mundo.
Então, qual é o papel dos funcionários na luta de uma empresa contra o cibercrime? Para responder a esta pergunta, a Kaspersky Lab e a B2B International realizaram um estudo em mais de 5 mil empresas em todo o mundo. O estudo ouviu 7.993 funcionários de tempo integral sobre políticas e responsabilidades pela segurança corporativa de TI. Os resultados mostram que 24% dos profissionais acham que não há qualquer política estabelecida em suas organizações.
uriosamente, parece que essa ignorância em relação às regras não é uma desculpa, pois cerca de metade (49%) dos respondentes acha que todos os funcionários, inclusive eles mesmos, devem assumir a responsabilidade pela proteção dos ativos corporativos de TI contra ameaças cibernéticas.
Essa divergência entre teoria e prática pode ser especialmente perigosa para as empresas menores, em que não há uma função dedicada à segurança de TI e as responsabilidades são distribuídas entre profissionais de TI e outros. Até os requisitos mais básicos são ignorados, como a alteração de senhas ou a instalação de atualizações necessárias, e isso pode comprometer a proteção geral da empresa. De acordo com os especialistas da Kaspersky Lab, a diretoria, o setor de RH e os profissionais do financeiro que têm acesso aos dados críticos da empresa normalmente são os mais visados.
Não por acso, 52% das empresas acreditam que estão em risco por fatores intermos. E têm boas razões para se preocupar com os funcionários que contribuem para riscos de segurança cibernética. De acordo com o relatório “The Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within”, a falta de cuidado dos funcionários facilitou os ataques em 46% dos incidentes de cibersegurança no último ano. Entre os negócios que enfrentaram incidentes de segurança nos últimos 12 meses, um em cada dez (11%) incidentes mais graves envolveu funcionários.
Pessoal descuidado ou desinformado, por exemplo, é a segunda causa mais provável de uma grave violação de segurança, perdendor apenas para o malware. Erros que colocam em risco os dados ou sistemas da empresa podem ocorrer por acidente, por negligência, ou mesmo por falta de treinamento necessário para ensiná-los como se comportar adequadamente para proteger os negócios para os quais trabalham.
E o erro humano não é o único “vetor de ataque” que tem vitimado as empresas. No último ano, o pessoal interno também causou problemas de segurança por meio de ações mal-intencionadas, com 30% dos eventos de segurança nos últimos 12 meses envolvendo funcionários que atacaram seus próprios empregadores.
O problema de falta de conhecimento da equipe pode ser um desafio importante, especialmente em empresas menores, em que a cultura da cibersegurança ainda está em uma fase inicial. Além da possibilidade de serem vítimas de ameaças virtuais, os funcionários também são obrigados a defender a empresa dessas ameaças.
“Nesse aspecto, as empresas devem focar a educação dos funcionários e a utilização de soluções eficientes, mas fáceis de usar e gerenciar, que possam ser operadas por pessoas que não são especialistas em segurança de TI”, diz Vladimir Zapolyansky, chefe de negócios para PMEs da Kaspersky Lab.
Ainda de acordo com a pesquisa, as empresas que já despertaram para o problema dos riscos internos preocupam-se mais com os funcionários que compartilham dados inadequados por meio de dispositivos móveis (47%), a exposição causada pela perda física desses dispositivos móveis (46%) e o uso de recursos inadequados de TI pelos funcionários (44%).
O descuido e o phishing/engenharia social dos empregados foram fatores importantes para ataque direcionado e infecção por malware; tipos de ataque, que, aliás, também demonstraram maior aumento no último ano.
Cerca de 49% dos negócios em todo o mundo relataram ter sido atacados por vírus e malwares em 2017, um aumento de 11% em relação aos resultados de 2016. E, daqueles que sofreram incidentes de vírus e malwares, pouco mais da metade (53%) consideram empregados descuidados/desinformados como um dos principais fatores contribuintes.
Do mesmo modo, mais de um em quatro (27%) das empresas experimentaram ataques direcionados em 2017, um aumento de 6% em relação ao ano passado. Destas empresas atacadas, mais de um quarto (28%) acreditam que o phishing/engenharia social contribuiu para o ataque.
O desprepara dos funcionários traz problemas também após os ataques, segundo o estudo. Quando incidentes de segurança acontecem, é importante que os funcionários estejam prontos para detectar a violação ou mitigar os riscos. Afinal, os funcionários também têm um papel importante a desempenhar para ajudar a proteger as empresas para as quais trabalham.
No entanto, os funcionários nem sempre agem quando sua empresa é atingida por um incidente de segurança. Na verdade, em 40% das empresas em todo o mundo, os funcionários escondem um incidente quando isso acontece. E ocultar um incidente pode levar a consequências dramáticas, aumentando o dano causado.
Além de ser irresponsável ocultar os incidentes quando acontecem, a irresponsabilidade dos funcionários também pode ter forte impacto nas informações de uma empresa e na integridade do sistema quando vinculado ao incidente.
Por exemplo, 46% das empresas confirmaram que esses incidentes resultaram na vazão ou exposição de dados da empresa devido a ações dos funcionários. Além disso, mais de um em cada quatro (28%) perderam informações de clientes/funcionários altamente sensíveis ou confidenciais por conta da postura irresponsável de seus funcionários, enquanto 25% perderam informações de pagamento. Todas essas implicações, é claro, têm o potencial de gerar prejuízos e prejudicar a reputação de uma empresa, tanto interna quanto externamente.
Então, como abordar o problema?
Para combater o desconhecimento dos funcionário, a mera criação de políticas de segurança de TI não é suficientes. Uma política, por si só, não protegerá um negócio de ameaças – em parte porque as políticas de segurança de TI nem sempre são seguidas pelos funcionários para as quais foram projetadas e em parte porque não podem cobrir todos os riscos possíveis.
A pesquisa mostra que a maioria das empresas reconhece que os funcionários não seguem corretamente as políticas de segurança de TI. O que ainda é mais preocupante é que elas estão fazendo pouco para ajudar a resolver o próprio problema, com apenas um quarto (26%) planejando treinamentos e mecanismos de comunicação.
Em muitos casos, as políticas são escritas de maneira tão difícil que simplesmente não podem ser efetivamente absorvidas pelos funcionários. Em vez de comunicar riscos, perigos e boas práticas em instruções claras e abrangentes, as empresas muitas vezes dão aos funcionários documentos de várias páginas que todos assinalam, mas muito poucos lêem – e menos ainda entendem.
Treinar pessoal e contratar pessoal dedicado para ajudar a aplicar políticas de segurança são respostas lógicas ao problema. É preciso encontrar o equilíbrio certo entre a política e o envolvimento, a fim de evitar o descuido da equipe, ou riscos acirrados por profissionais desinformados.
A capacitação é essencial para conscientizar o pessoal e motivá-los a prestar atenção às ameaças e contramedidas cibernéticas – mesmo que não façam parte de suas responsabilidades específicas de trabalho. Instalar atualizações, garantir que a proteção anti-malware esteja ativada e gerenciar senhas pessoais adequadamente são tarefas de todos.