A importância da conscientização do usuário em cibersegurança

Quando o assunto é segurança no mundo digital, as empresas têm estado cada vez mais atentas e procurado investir na proteção e prevenção contra as muitas ameaças existentes. Porém, também têm falhado ao não dar importância a um dos aspectos mais sensíveis, o fator humano.

O fator humano aqui é essencialmente representado pelo usuário. Compreender o seu papel e quão relevante é destinar atenção a ele, é vital para que políticas de segurança em TI, sejam mais eficientes.

Qual o papel da cibersegurança nas empresas?

Costuma-se dizer que a força de uma corrente é determinada pelo seu elo mais fraco.

Em termos práticos, imagine uma corrente de metal, cujos elos são capazes de suportar uma tensão de tração de 200 Kg, mas que possui um elo com defeito, que suporta apenas 100 Kg. Ao ser submetida a essa carga (100 Kg), ela romperá justamente no elo defeituoso, não suportando o peso para o qual foi fabricada (200 Kg).

No caso, a segurança cibernética tem como papel, assegurar de modo uniforme a manutenção de uma corrente, cujos elos são as políticas de segurança, os sistemas responsáveis pela segurança de outros sistemas e seus respectivos dados, a infraestrutura (rede de computadores, dispositivos, etc), bem como os usuários.

Se qualquer desses elos falha ou não cumpre adequadamente o papel que se espera dele, a segurança é comprometida e impactar a empresa em várias esferas.

Na maior parte dos casos, as empresas e o pessoal encarregado, têm dedicado atenção suficiente às políticas de seguranças, aos sistemas de prevenção e proteção e à infraestrutura, mas têm falhado com o usuário e por isso, contam com um elo mais frágil, que frequentemente tem sido explorado por crackers – hacker do mal – e outros criminosos digitais.

Qual a importância do usuário em cibersegurança?

Como acabamos de ver, o usuário costuma ser o elo da cadeia de segurança cibernética, que normalmente recebe a menor atenção e, portanto, acaba sendo a principal via de comprometimento de todo o restante.

Justamente por isso, que os criminosos digitais têm cada vez mais explorado ataques nos quais o usuário constitui elemento-chave para seu sucesso, como nos casos de phishing, por exemplo.

Para tanto, é comum o uso de técnicas e artifícios de engenharia social, explorando aspectos humanos, tais como relações entre pessoas, afinidades, senso de colaboração, (des)conhecimento de determinados assuntos, curiosidade, ambição ou vaidades, entre outros.

Ou seja, características próprias do ser humano e que não são fáceis de exercer controle.

Controlam-se sistemas e máquinas razoavelmente bem, mas seres humanos, é bem mais difícil.

Não que hardware e software sejam infalíveis ou sejam 100% eficientes, mas na maior parte dos casos, o que se tem observado é que um erro humano tem sido a causa de um sistema ser afetado por alguma das muitas ameaças.

Pode ser ao conectar o notebook da empresa a um Wi-Fi público, ao baixar e instalar um software pirata em um desktop, ao clicar em um link suspeito, ao abrir uma mensagem de e-mail spoofing, ou simplesmente por usar uma senha tão fraca como 123qweasdzxc, que pode parecer forte em uma avaliação rápida, mas é apenas uma sequência de teclas do teclado.

São várias as possibilidades e para uma empresa com apenas 20 colaboradores, são 20 multiplicado pelo total de possibilidades, de portas pelas quais um intruso pode ganhar acesso aos dados da empresa!

Sendo assim, as empresas investem em firewalls, softwares antivírus caros e sofisticados, VPNs, sistemas com autenticação multifator (MFA) e o que mais for possível, mas basta um usuário mal orientado, para tornar tudo isso inútil e ver seu patrimônio digital e até sua sobrevivência como negócio sob ameaça, por conta de uma infecção por ransomware ou por um vazamento de dados, por exemplo.

Diante de um cenário como esse, só há uma saída – conscientizar e educar os usuários!

Como conscientizar e educar os usuários?

Como já era de se esperar, não há outro caminho que não seja instituir uma cultura de permanente conscientização e educação de todos os usuários.

Para tanto, alguns passos são essenciais.

1. Conscientização

Tudo começa com a conscientização, que é crucial na instituição de uma cultura de segurança cibernética eficiente.

Os usuários precisam ter ciência das consequências e do nível de ameaça que uma falha sua pode acarretar, comprometendo as políticas de segurança digital da empresa e produzindo prejuízos diversos.

O impacto pode ser até mais severo do que um erro relativo às tarefas diretamente relacionadas com sua função e, portanto, exige que estejam verdadeiramente engajados.

Portanto, estarem conscientes do papel que desempenham na manutenção da segurança cibernética, é vital.

Trata-se de um processo permanente, que deve ser conduzido com palestras, artigos, vídeos e até com comunicação visual, alertas e lembretes nos sistemas (ex: na intranet) e espalhados em pontos estratégicos.

2. Treinamentos

Os treinamentos – no plural mesmo – são outro passo essencial e corresponde ao processo de educação dos usuários.

Não basta realizar um treinamento apenas, porque o processo de conscientização e educação requer repetição.

Precisa ser permanente. Lembre-se que um só treinamento pode ser suficiente para o pessoal de TI, porque envolve assuntos que fazem parte da sua rotina, o que não é o caso do pessoal das demais áreas da empresa.

As informações, as orientações sobre os procedimentos operacionais padrão, as boas práticas, o conhecimento sobre a política de segurança digital da empresa, as quais precisam ser claras e concisas e tudo o mais que for pertinente, precisam ser sabidos e praticados por todos.

Além disso, isso também deve constar do processo de integração dos novos colaboradores (onboarding).

3. Informação

Manter os usuários informados sobre novas ameaças, tipos de fraudes/golpes, as técnicas de engenharia social, contribui para que eles sejam capazes de reconhecer situações suspeitas e perigosas.

Mais do que isso, é preciso garantir o acesso e a ciência desse tipo de informação, tanto quanto as informações necessárias ao desempenho das funções próprias de cada cargo.

Conhecimento é a arma mais eficiente no combate aos artifícios de engenharia social.

4. Abrangência

A transformação digital tem feito com que praticamente todas as áreas de uma organização tenham algum grau de informatização, além do fato que muitos podem estar conectados por seus smartphones ao Wi-Fi da empresa, por exemplo.

Uma troca interna de mensagens de e-mail ou a participação em uma plataforma de comunicação ou de trabalho colaborativo, como Slack ou Teams, pode servir como vetor de disseminação de um malware, por exemplo.

Em outras palavras, o processo de conscientização e educação deve ser abrangente e contemplar todos que podem significar uma porta de acesso aos sistemas e dados da empresa, independentemente de cargo, função ou acesso a sistemas e dados sensíveis.

Conclusão

O nível de eficiência das ações de segurança cibernética nas empresas, é intimamente dependente do trabalho de conscientização e educação dos usuários.

Artigos relacionados

Intranet
O que é intranet, funcionamento e as vantagens para a empresa?
WordPress
Os 5 melhores plugins de segurança para WordPress
WordPress
Wordpress é seguro? Como melhorar a sua segurança?

Comentários ({{totalComentarios}})