O Custo do Erro Humano para a Cibersegurança

Wendel Siota

Em quase todos os ataques cibernéticos bem-sucedidos um fator-chave é comum: o erro humano. Estima-se que em 95% dos casos de violação de segurança, o erro humano foi uma causa contribuinte. Mas há uma lição positiva para se extrair de uma estatística tão desanimadora. 95% de todas as violações de segurança cibernética poderiam ter sido evitadas se a força de trabalho tivesse sido treinada e equipada para isso.

O que é o erro humano?

Simplificando, o erro humano refere-se a ações não intencionais – ou falta de ação – dos envolvidos em alguns dos processos do negócio. Essas ações podem levar a violações de segurança e se materializam em uma infinidade de erros comuns – como falhas de atualização de sistemas de computador, uso de senhas fracas e inocentes clicks em links desconhecidos.

Embora a maioria das empresas use algum tipo de software de segurança, a proteção só pode ir até onde a força de trabalho utiliza os sistemas. Os criminosos cibernéticos geralmente obtêm acesso aos dados por meio de pessoas – que agem como uma porta aberta em meio a sistemas de segurança complexos.

A maioria dos erros humanos resulta de treinamento inadequado e falta de conscientização. Naturalmente, a redução do erro humano deve ser uma parte fundamental das estratégias de segurança cibernética das organizações.

A escalada do fator humano na cadeia de segurança

Embora o fator humano sempre tenha sido uma ameaça à segurança cibernética, o aumento do trabalho em casa e o refinamento dos ataques cibernéticos potencializaram o problema.
Funcionários remotos praticamente “renunciam” à supervisão presencial e das equipes de TI e à proteção oferecida pelo ambiente corporativo, tendo assim também “renunciado” a algumas camadas de segurança. Com esta nova realidade, a necessidade de conscientização sobre segurança da força de trabalho nunca foi tão grande.

Phishing

Os golpes de phishing referem-se ao processo de roubo de informações confidenciais de usuários, agindo como um indivíduo confiável ou terceiro. O phishing pode vir na forma de um anexo clicável, macros habilitadas em arquivos, atualização de senhas ou uso de conexões não seguras.

De acordo com um relatório da Verizon, 90% dos ataques de phishing confirmados, ocorreram em ambientes que usam gateways de e-mail seguros, onde uma equipe experiente poderia ter ajudado a evitar isso.

Observa-se que os setores financeiro, de mídia social e SaaS são os mais afetados por golpes de phishing. Ainda assim, 75% das organizações sofreram pelo menos um ataque de phishing no ano passado (2021).

Senhas Fracas

Isso pode parecer desatualizado ou “fora de moda”, mas estudos mostram que uma grande porcentagem de senhas é “123456”, ou similares – em todas as plataformas. Os funcionários geralmente precisam trabalhar em um extenso conjunto de plataformas que exigem credenciais de login. Pode ser fácil para os funcionários se tornarem relapsos e manterem a mesma senha para tudo, mas isso também torna o trabalho do criminoso muito mais fácil.

Falhas de Atualização de Software

A segurança cibernética deve ser um processo consistente, sempre necessário e em constante evolução. As pessoas por trás dos dispositivos e softwares que você usa estão trabalhando consistentemente para corrigir e proteger quaisquer vulnerabilidades nos sistemas. Ao fazer isso, eles disparam atualizações de software. Ao não atualizar o software, os usuários ficam vulneráveis ​​a ataques.

Indiscutivelmente, o exemplo mais famoso disso é o ataque de ransomware Wannacry de 2017. Estima-se que o ataque tenha afetado aproximadamente 230.000 dispositivos em 150 países, com danos que custaram centenas de milhões de dólares. A exploração usada neste ataque havia sido corrigida meses antes pela Microsoft. Se os usuários tivessem atualizado seus dispositivos, esse resultado teria sido evitado.

Controles de Acesso

Um erro humano comum em relação à segurança cibernética é o controle de acesso inadequado. Quanto mais acesso os indivíduos tiverem aos arquivos da empresa, mais acesso terão os invasores bem-sucedidos. Os funcionários só devem ter acesso a arquivos e software necessários para fazer bem seu trabalho – o que diminui o impacto e a amplitude de possíveis violações.

Mitigando o Erro Humano

Um estudo de caso da Capita, entrevistando 524 empresas violadas, relatou que o custo médio de cada violação foi de 3,86 milhões de dólares. Ao analisar esse dado com o conhecimento de que 95% das violações são causadas – pelo menos parcialmente – por erro humano, fica claro o caminho a seguir. O custo do treinamento de segurança cibernética e de uma equipe é significativamente baixo e pode salvar as empresas de resultados prejudiciais.

Toda a força de trabalho deve ter um bom nível de compreensão de segurança cibernética, incluindo o básico, como complexidade de senha e detecção de golpes de phishing. É importante que as empresas controlem o privilégio e a supervisão de dados importantes. Compartilhe apenas as informações necessárias com cada funcionário para garantir que qualquer risco de violação não se espalhe ainda mais. Construir uma cultura cibernética em que os funcionários se sintam capacitados para explorar, aprender e relatar quaisquer ameaças é importante para se manter atualizado sobre os riscos atuais.

A divisão de capacitações da EximiaCo oferece treinamentos In-Company voltados à segurança que visam, além da conscientização sobre a segurança, a ampliação de conhecimento para equipes técnicas, gestores e c-levels. Converse conosco para saber mais sobre nossa Consultoria & Assessoria em Gestão em Segurança da Informação, assim podemos ajudar seu negócio a ser mais seguro.

Compartilhe este insight:

Comentários

Participe deixando seu comentário sobre este artigo a seguir:

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

AUTOR

Wendel Siota
Mais de 25 anos de experiência em cyber security em grandes corporações.

SOLUÇÕES EXIMIACO

Gestão em Segurança da Informação

Ambientes mais seguros para sua empresa crescer com confiança.

Manual do CSO

Como atuar com excelência na gestão de segurança corporativa.
Especialista em segurança da informação

NOVOS HORIZONTES PARA O SEU NEGÓCIO

Nosso time está preparado para superar junto com você grandes desafios tecnológicos.

Entre em contato e vamos juntos utilizar a tecnologia do jeito certo para gerar mais resultados.

Insights EximiaCo

Confira os conteúdos de negócios e tecnologia desenvolvidos pelos nossos consultores:

Arquitetura de Software

Razões para entender o que é acoplamento

Arquiteto de Software com experiência executiva em Tecnologia
Engenharia de Software

Três vantagens reais de utilizar orquestradores BPM para serviços

Arquiteto de software e solução com larga experiência corporativa
Desenvolvimento de Software

Os principais desafios ao adotar testes

Especialista em Testes e Arquitetura de Software

Acesse nossos canais

Simplificamos, potencializamos e aceleramos resultados usando a tecnologia do jeito certo

EximiaCo 2022 – Todos os direitos reservados

0
Queremos saber a sua opinião, deixe seu comentáriox
()
x

O Custo do Erro Humano para a Cibersegurança

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Condição especial de pré-venda: R$ 14.000,00 - contratando a mentoria até até 31/01/2023 e R$ 15.000,00 - contratando a mentoria a partir de 01/02/2023, em até 12x com taxas.

Tenho interesse nessa capacitação

Para solicitar mais informações sobre essa capacitação para a sua empresa, preencha o formulário a seguir:

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

O seu insight foi excluído com sucesso!

O seu insight foi excluído e não está mais disponível.

O seu insight foi salvo com sucesso!

Ele está na fila de espera, aguardando ser revisado para ter sua publicação programada.

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse nessa solução

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse neste serviço

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

× Precisa de ajuda?