Roberto Rebouças, diretor geral da Kaspersky Lab no Brasil

A vulnerabilidade das empresas diante de ataques cibernéticos vem aumentando a cada dia. O novo alvo dos cibercriminosos são os funcionários, que acabam servindo como ponto de entrada para invasões na infraestrutura corporativa. Basta que alguém dentro da organização não tenha conhecimento ou não se atente às questões de segurança para que um dispositivo infectado seja facilmente conectado à rede – ocasionando possíveis desastres. Em casos de ataques direcionados, o descuido dos funcionários é uma das maiores brechas na blindagem da segurança virtual corporativa. Embora os hackers possam usar um malware sob medida e técnicas de alta tecnologia para planejar um roubo, é provável que comecem explorando o ponto de entrada mais frágil: a natureza humana.

Não há dúvidas de que é um grande desafio transformar os funcionários de uma empresa em defensores reais das normas de segurança, garantindo que todos estejam cientes e dispostos a cumprir as regras estabelecidas. Como implementar controles preventivos ou corretivos que minimizem os riscos e as brechas na segurança? Como registrar o consentimento do usuário em respeitar as políticas?

Em termos de tecnologias de segurança, a maioria das ameaças que visam funcionários desinformados ou descuidados pode ser resolvida por soluções de segurança de endpoints

Um dos maiores desafios é que diferentes áreas de gerenciamento enxergam a segurança cibernética a partir de várias perspectivas e prioridades distintas. Isso pode resultar em uma espécie de tomada de decisão chamada de "Segurança do Triângulo das Bermudas", que conta com os seguintes pilares: primeiro, é imprescindível que os negócios não vejam as medidas de segurança como uma contradição aos seus objetivos de negócios (mais barato/ rápido/melhor); segundo, os gerentes de segurança de TI precisam sentir a segurança cibernética como uma questão de infraestrutura e investimento que se move fora de suas atribuições; e, por último, os gerentes encarregados do controle de custos têm dificuldades em enxergar como as despesas de segurança cibernética se relacionam com receitas e economias em vez de gerar custos.

O relatório “O Fator Humano na Segurança de TI: como os funcionários tornam as empresas vulneráveis de dentro para fora”, da Kaspersky Lab e B2B International, mostra que ao ocorrer um incidente de segurança de TI, os funcionários não são sinceros em reportar para sua gestão. Isso porque querem evitar punições ou regras rígidas pré-estabelecidas que impõem uma responsabilidade excessiva sobre os funcionários – em vez de simplesmente incentivá-los a ficar atentos. Como cerca de 46% dos incidentes são causados pelos próprios funcionários, fica evidente a fragilidade nas empresas e o quanto a proteção virtual não está somente atrelada ao âmbito da tecnologia, mas também faz parte da cultura e do treinamento da organização, fazendo-se necessário o envolvimento da diretoria e do RH.

Segundo a pesquisa, um terço (28%) dos ataques direcionados em empresas no último ano começou com o phishing ou engenharia social. Por exemplo, um contador descuidado pode facilmente abrir um arquivo malicioso disfarçado como uma fatura de um dos inúmeros fornecedores da empresa e, assim, desligar toda a infraestrutura da organização, tornando-se um cúmplice involuntário dos invasores.

Organizações do mundo inteiro já estão alertas para o problema das vulnerabilidades em suas empresas causadas por funcionários: 52% das companhias pesquisadas admitem que suas equipes são o elo mais fraco em sua segurança de TI. A necessidade de implementar medidas voltadas para os funcionários se torna cada vez mais evidente, já que 35% das empresas buscam melhorar a segurança por meio do treinamento das equipes – sendo esse o segundo método mais popular de defesa cibernética, atrás apenas da implementação de software mais sofisticado (43%).

Em termos de tecnologias de segurança, a maioria das ameaças que visam funcionários desinformados ou descuidados pode ser resolvida por soluções de segurança de endpoints. Elas tratam das necessidades específicas de pequenas, médias e grandes empresas em termos de funcionalidades, proteção pré-configurada ou configurações avançadas de segurança para minimizar os riscos.

Para garantir que os funcionários e colaboradores recebam e compreendam as orientações sobre as suas funções e responsabilidades no que se refere à segurança, as empresas precisam, portanto, de soluções de automatização de procedimentos. Dessa forma, consegue-se reduzir os custos associados aos processos manuais de implementação de iniciativas, que geram relatórios detalhados sobre conformidade e adequação às normas e regulamentações.

Esse entendimento é essencial porque segurança é uma equação que une tanto a tecnologia quanto as pessoas. Daí a importância da automação dos processos manuais de segurança. São iniciativas que podem não contribuir diretamente para o retorno sobre o investimento (ROI) imediatamente, mas, ao longo do tempo, a automatização da política de segurança minimiza os gastos, preservando os ativos da empresa e garantindo sua adequação e conformidade às diversas leis e regulamentações.

Com a ideia de construir uma estratégia de defesa cibernética, fazendo escolhas entre os melhores controles proativos e reativáveis disponíveis, criamos a Kaspersky Interactive Protection Simulation (KIPS). A prática coloca equipes de segurança de TI de corporações e departamentos governamentais em um simulador de ambiente comercial que tem como objetivo mostrar uma série de ameaças cibernéticas inesperadas. Cada decisão tomada pelos participantes da experiência muda o cenário de ameaças e, por fim, quanto de lucro cada companhia gera – ou perde – naquela situação. Para se ter uma ideia, empresas que utilizaram a solução tiveram uma redução de incidentes em mais de 90%.

As empresas precisam analisar dados e tomarem decisões estratégicas com base em informações incertas e recursos limitados, pois precisam equilibrar as prioridades de engenharia, negócios e segurança em relação ao custo de um ataque cibernético realista. Se isso parecer viável, deve-se fazer, porque cada um dos cenários é baseado em eventos da vida real.

O treinamento de simulação de proteção interativa faz parte do portfólio da Kaspersky Security Awareness, baseado na metodologia CyberSafety Culture. A simulação faz uso da gamificação para conscientizar os funcionários em todos os níveis da estrutura organizacional, gerenciados por equipes de segurança e RH.

É por isso que a grande tendência em termos de política de segurança é a prática de se exigir - como parte da descrição do cargo de cada funcionário - o compromisso com a manutenção da segurança de dados, processos e políticas da empresa para a qual trabalha. Não é à toa que as corporações estão investindo cada vez mais em treinamentos, campanhas de marketing interno, trabalhos em grupo e em softwares que monitoram e alertam os usuários quando eles cometem imprudências.