Connect with us

Software

Incidentes de cibersegurança causados pelos seus colaboradores? Talvez nunca os venha a descobrir…

Patricia Fonseca

Publicado a

O Fator Humano na segurança IT e desafios internos: Como é que os colaboradores tornam a empresa vulnerável – é o novo relatório elaborado pela Kaspersky Lab e pelo B2B International. Nesta investigação conclui-se que em 40% das empresas em todo o mundo, os colaboradores escondem incidentes ao nível da segurança IT. Com 46% dos incidentes de segurança IT causados pelos colaboradores todos os anos, esta vulnerabilidade deve começar a ser analisada a vários níveis, e não só através do departamento de segurança IT.

Abrindo a porta aos hackers

Os colaboradores pouco informados ou descuidados são uma das causas mais comuns dos incidentes de cibersegurança – atrás dos mesmos estão apenas os ataques que têm por base o malware. Apesar dos ataques por malware serem cada vez mais sofisticados, a verdade é que o fator humano pode constituir um perigo ainda maior.

O descuido dos colaboradores é uma das maiores falhas de cibersegurança no que diz respeito a ataques direcionados. Atualmente, os hackers mais sofisticados recorrem a malware personalizado e técnicas hi-tech para planear os seus golpes, no futuro irão também começar a explorar o ponto de entrada mais fácil – a natureza humana.

De acordo com a investigação, cerca de um terço (28%) dos ataques direcionados a empresas, no ano passado, usaram phishing ou social engineering como fonte. Por exemplo, um contabilista poderia facilmente abrir um ficheiro que se fizesse passar por uma fatura de um dos vários fornecedores da empresa. Esta situação pode levar à rutura das infraestrutura de toda a organização, transformando o contabilista num cúmplice involuntário do ataque.

“Os hackers utilizam várias vezes os colaboradores como um ponto de entrada para a infraestrutura da empresa. E-mails de phishing, palavras-passe fracas, chamadas falsas de equipas de apoio técnico – já vimos de tudo. Mesmo um cartão de memória caído no parque de estacionamento ou próximo de uma secretária pode comprometer toda a rede – tudo o que é preciso é alguém de dentro da empresa, que não saiba ou não preste atenção à segurança, e esse dispositivo pode facilmente conectar-se à rede e originar o caos,” comenta David Jacoby, Investigador de Segurança na Kaspersky Lab.

Os ataques direcionados às empresas não acontecem diariamente – mas o malware tradicional acontece em massa. Infelizmente, o relatório mostra também que, mesmo quando o malware é levado em conta, os colaboradores descuidados ou pouco alerta para estes temas estão muitas das vezes envolvidos, sendo a causa de infeções em 53% dos incidentes.

Porque é que os Recursos Humanos e os Administradores se devem envolver

Ao esconder os incidentes em que estiveram envolvidos, os colaboradores podem aumentar os danos causados e dar origem a consequências dramáticas. Mesmo um acontecimento que não seja reportado pode significar uma quebra de segurança muito grave. Por isso, as equipas de IT precisam de identificar rapidamente quais as ameaças com que se estão a deparar para escolher qual a melhor estratégia de defesa.

Ainda assim, os colaboradores mais facilmente colocariam a empresa em risco do que reportariam um problema por temerem repercussões ou por se sentirem envergonhados por terem sido a causa de algo que correu mal. Algumas empresas têm regras rigorosas e impõe responsabilidades extra aos seus colaboradores em vez de os encorajar a ser vigilantes e cooperativos. Isto significa que a ciberproteção não reside apenas no patamar da tecnologia mas também na cultura e treino da organização. É aqui que os Administradores e os Recursos Humanos devem ser envolvidos.

“O problema da omissão de incidentes deve ser apresentado não só aos colaboradores mas também aos Administradores e aos departamentos de Recursos Humanos. Se os colaboradores escondem incidentes, tem de haver um motivo para que o façam. Em alguns casos, as empresas introduzem políticas rígidas que não são claras, e põe demasiada pressão nas equipas, avisando-os para que não façam isto ou aquilo, caso contrário serão responsabilizados se algo correr mal. Estas políticas originam receios e os colaboradores só têm uma hipótese – evitar punições de qualquer forma. Se a cultura de cibersegurança for positiva, baseada numa abordagem educativa em vez de restritiva, do topo para as bases, os resultados serão óbvios,” comenta Alfonso Ramírez, Diretor Geral da Kaspersky lab Iberia.

Para além disso, deve destacar-se que o modelo de segurança industrial onde uma abordagem pela aprendizagem com os erros e as denúncias são a alma do negócio. Por exemplo, no seu mais recente discurso, Elon Musk da Tesla solicitou que cada incidente que afetasse a segurança dos trabalhadores lhe fosse reportado diretamente, de forma a ter um papel principal na mudança.

Fator humano: o clima corporativo e outros

Algumas organizações em todo o mundo começam a estar alerta para o problema das equipas tornarem os seus negócios vulneráveis: 52% das empresas analisadas admitiu que os colaboradores são a maior fraqueza na sua segurança IT. A necessidade de implementar medidas focadas nos colaboradores é cada vez mais evidente: 35% das empresas está a melhorar a sua segurança através da formação dos seus colaboradores, tornando-o no segundo melhor método de cibersegurança, apenas atrás da implementação de software mais sofisticado (43%).

A melhor forma de proteger as organizações de ameaças associadas ao fator humano é alinhar as ferramentas certas com as práticas certas. Estas envolvem esforços dos departamentos de Recursos Humanos e da Administração para motivar e encorajar os colaboradores a estarem mais atentos e pedirem ajuda caso ocorra algum incidente. Formação para a consciencialização de segurança para os colaboradores, emissão de diretrizes claras em vez de documentos de várias páginas, criação de laços fortes e um ambiente de trabalho ideal são os primeiros passos que uma organização deve tomar.

No que diz respeito às tecnologias de segurança, a maioria das ameaças que tem como objetivo os colaboradores descuidados ou pouco alerta para estes temas – incluindo o phishing – podem ser resolvidas com soluções de segurança endpoint. Estas podem também resolver as necessidades das PME e outras organizações quanto à funcionalidade, proteção pré-definida ou propriedades mais avançadas de proteção para minimizar os riscos.

Viciada em tecnologia, entrou para a equipa em 2012 e é responsável pela Leak Business, função que acumula com a de editora da Leak. Não dispensa o telemóvel nem o iPod e não consegue ficar sem experimentar nenhum dispositivo tecnológico.

Clique para comentar

Leave a Reply

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Publicidade

Últimas Notícias

Notícias1 dia atrás

QNAP lança novas placas PCIe QM2 para NAS

A QNAP expandiu o catálogo das placas de expansão PCIe QM2 com novos modelos que suportam até quatro ranhuras para SSDs M.2....

Notícias1 dia atrás

Altran quer atrair engenheiros de software internacionais para Portugal

A Altran lança a campanha “ROAD TO PORTUGAL” com o objectivo de atrair e contratar profissionais estrangeiros, como resposta à...

Notícias2 dias atrás

Fujitsu e IDC desenvolvem plataforma digital gratuita de avaliação da maturidade da Hybrid Cloud

A IDC Portugal e a Fujitsu anunciaram a disponibilidade no mercado nacional do Hybrid Cloud Management MaturityScape. Esta ‘framework’, desenvolvida...

Eventos3 dias atrás

Landing.jobs vai reunir as melhores empresas de tecnologia

No dia 7 de Junho, às 19h, vai decorrer no Porto, o Landing.Porto, um evento organizado pela Landing.jobs, que vai...

Notícias4 dias atrás

HMD Global angaria 100 milhões de dólares rumo ao crescimento

A HMD Global angariou 100 milhões de dólares de vários investidores para ampliar as suas operações comerciais e financiar o...

Notícias4 dias atrás

Mastercard quer impulsionar o crescimento das fintechs

A Mastercard anunciou um reforço do investimento na Europa com o lançamento da Accelerate, uma nova iniciativa destinada a impulsionar...

Startups4 dias atrás

Startup FINIAM quer mudar a relação entre clientes e os bancos

A FINIAM foi a entidade escolhida pela Payshop para criar uma nova dimensão nesta marca prestadora de serviços de pagamento....

Especiais4 dias atrás

Inteligência Artificial não está de boa saúde na Europa

As enormes vantagens da Inteligência Artificial (IA) para as empresas estão a ser travadas na Europa por uma falta de...