logo

O fator humano na segurança cibernética: está preparado?

A segurança cibernética é um dos maiores desafios das organizações na era digital, especialmente em um contexto de transformação acelerada impulsionada pela pandemia da COVID-19. Os ataques cibernéticos se tornaram mais frequentes, sofisticados, direcionados e difíceis de detectar, explorando as vulnerabilidades dos sistemas de computação e informação.No entanto, muitas vezes o principal fator de risco e causa dessas vulnerabilidades é o fator humano, ou seja, as ações ou omissões dos usuários que podem resultar em uma violação de dados ou segurança. Esses erros podem decorrer de falta de conscientização, negligência, controle de acesso inadequado ou até mesmo intenção maliciosa.


Segundo um relatório da ENISA (2020), os fatores humanos e organizacionais representam 90% dos incidentes de segurança cibernética reportados. Além disso, um estudo da CyDef (2021) estimou que os erros humanos custam às empresas cerca de US$ 3,8 milhões por ano em média.


Diante desse cenário, é necessário adotar uma abordagem holística e centrada no usuário para a segurança cibernética, que considere os aspectos individuais, organizacionais e tecnológicos que influenciam o comportamento e as decisões dos usuários em relação aos riscos cibernéticos.


Vamos apresentar algumas formas de fazer isso, utilizando tecnologia e processos para mitigar os riscos associados ao fator humano.


Tecnologia: soluções para proteger os dados e os dispositivos


Uma das formas de enfrentar o fator humano na segurança cibernética é utilizar tecnologias que possam proteger os dados e os dispositivos dos usuários contra ameaças externas ou internas. Algumas dessas soluções são:


• DRM (Digital Rights Management) : é uma tecnologia que permite controlar o acesso e o uso dos dados por meio de criptografia e políticas de permissão. O DRM impede que usuários não autorizados ou mal-intencionados copiem, modifiquem ou compartilhem dados sensíveis sem o consentimento do proprietário. Uma das empresas que oferece soluções de DRM é a Fasoo, que possui uma plataforma integrada de segurança de dados que protege mais de 250 tipos de arquivos, incluindo documentos, imagens e CAD.

• Isolamento do navegador : é uma técnica que consiste em executar todo o código do navegador em uma rede ou servidor remoto, longe dos dispositivos locais e das redes internas das organizações. Dessa forma, qualquer conteúdo ou script malicioso encontrado pelos usuários na internet é eliminado junto com a sessão de navegação, sem afetar os sistemas locais. O isolamento do navegador oferece vários benefícios para a segurança cibernética, como prevenir o download ou execução local de malware, ransomware e outros scripts maliciosos; bloquear conteúdo web malicioso sem ter que bloquear sites inteiros; minimizar o risco de vulnerabilidades zero-day nos navegadores; proteger dados que usuários externos acessam em dispositivos não gerenciados. Existem diferentes tipos e soluções de isolamento do navegador, que variam de acordo com o nível de isolamento, o método de renderização e a experiência do usuário. A solução mais vreconhecida no setor é o Ericom Shield – Remote Browser Isolation.

• Segurança endpoint : é uma solução que visa proteger os pontos finais da rede corporativa, como computadores, smartphones, tablets e impressoras, contra ataques cibernéticos. A segurança endpoint envolve o uso de softwares antivírus, antimalware, firewall e outras ferramentas que monitoram e bloqueiam qualquer tipo de acesso não autorizado ou atividade suspeita nos dispositivos. A segurança endpoint é essencial para evitar que os usuários sejam vítimas de phishing, roubo de credenciais, sequestro de dados ou outros tipos de golpes que podem comprometer a segurança da rede. 


Processos: métodos para conscientizar e engajar os usuários


Além da tecnologia, outra forma de enfrentar o fator humano na segurança cibernética é utilizar processos que possam conscientizar e engajar os usuários sobre a importância e as boas práticas de proteção dos dados. Alguns desses processos são:

• Treinamento e capacitação : consiste em oferecer aos usuários cursos, palestras, workshops e outros recursos educativos que possam ensinar os conceitos básicos e avançados de segurança cibernética, como identificar e prevenir ameaças, usar senhas fortes, fazer backup dos dados, seguir as políticas e normas da organização, entre outros. O treinamento e a capacitação devem ser contínuos, atualizados e adaptados ao perfil e às necessidades dos usuários. 

• Simulação e teste : consiste em realizar testes práticos para avaliar o nível de conhecimento e o comportamento dos usuários em relação à segurança cibernética. Um exemplo é a simulação de phishing, que consiste em enviar aos usuários e-mails falsos que tentam induzi-los a clicar em links maliciosos, fornecer informações pessoais ou baixar arquivos infectados. O objetivo é medir a taxa de cliques, alertar os usuários que caíram no golpe e orientá-los sobre como evitar esse tipo de ataque no futuro. A simulação e o teste permitem identificar as vulnerabilidades humanas, corrigir as falhas e melhorar a conscientização dos usuários.

• Monitoramento e Auditoria : consiste em acompanhar e registrar as atividades dos usuários, verificando se eles estão cumprindo as regras e os padrões de segurança cibernética. O monitoramento e a auditoria permitem detectar anomalias, incidentes, violações ou tentativas de ataque, bem como aplicar medidas corretivas ou punitivas quando necessário. O monitoramento e a auditoria também fornecem dados e indicadores para avaliar o desempenho e a eficácia das ações de segurança cibernética implementadas na organização.


A importância dos fatores humanos na segurança cibernética


Além das soluções tecnológicas e dos processos para conscientizar e engajar os usuários, é importante também considerar os fatores humanos na segurança cibernética, ou seja, as características cognitivas, emocionais e motivacionais dos usuários que podem influenciar seu comportamento e suas decisões em relação aos riscos cibernéticos.


Um estudo realizado por Pollini (2022) propôs uma abordagem holística e centrada no usuário para avaliar o nível de maturidade das organizações em relação à sua capacidade de enfrentar e lidar com as ameaças e ataques cibernéticos. A abordagem combina métodos qualitativos e quantitativos para investigar os fatores individuais, organizacionais e tecnológicos que podem impactar nos riscos cibernéticos, envolvendo tanto a gestão quanto os funcionários das organizações.


Os resultados mostraram que uma melhor cultura de segurança cibernética nem sempre corresponde a um comportamento mais conforme às regras. Além disso, conflitos entre as regras e procedimentos de segurança cibernética podem desencadear vulnerabilidades humanas. Os autores sugerem a adoção de contramedidas não técnicas (como conscientização do usuário) para uma forma abrangente e holística de gerenciar a segurança cibernética nas organizações.


Exemplos de casos reais de ataques cibernéticos envolvendo o fator humano


Para ilustrar a importância dos fatores humanos na segurança cibernética, vamos apresentar alguns exemplos de casos reais de ataques cibernéticos que ocorreram recentemente e que tiveram como principal causa ou contribuição o erro ou a ação dos usuários.


• Em janeiro de 2021, um grupo industrial brasileiro de alcance internacional, sofreu um ataque de ransomware que afetou seus sistemas e arquivos. O ataque foi realizado por um grupo Hacker, que exigiu um resgate em criptomoedas para liberar os dados sequestrados. Segundo uma investigação de uma empresa de segurança, o ataque foi iniciado por meio de um e-mail de phishing enviado a um funcionário do grupo, que clicou em um link malicioso e permitiu a entrada dos hackers na rede da empresa .

• Em fevereiro de 2021, a empresa americana SolarWinds, fornecedora de software para gerenciamento de redes, foi vítima de um dos maiores ataques cibernéticos da história, que afetou mais de 18 mil clientes, incluindo agências governamentais e empresas privadas. O ataque foi realizado por um grupo hacker apoiado pelo governo russo, que inseriu um código malicioso em uma atualização do software Orion da SolarWinds, que foi baixada e instalada pelos clientes. Segundo uma investigação da empresa de segurança CrowdStrike, o ataque foi facilitado por uma senha fraca usada pela SolarWinds para acessar seu servidor FTP, que era “solarwinds123”.

• Em março de 2021, a empresa francesa OVHcloud, provedora de serviços de computação em nuvem, sofreu um incêndio que destruiu parte de seus data centers localizados em Estrasburgo. O incêndio afetou milhares de clientes da OVHcloud, que perderam seus dados e serviços hospedados na nuvem. Segundo uma investigação da empresa de segurança FireEye, o incêndio foi causado por um erro humano durante uma manutenção elétrica nos data centers, que provocou um curto-circuito e uma faísca.

• Em maio de 2023, uma empresa da área de saúde confirmou que sofreu um ataque cibernético em suas redes na noite de domingo, após observar instabilidades em seu sistema. Esse foi o segundo ataque de ransomware que a companhia de saúde enfrentou em menos de um ano. Segundo especialistas, os comportamentos dos funcionários têm sido a principal causa de entrada de criminosos aos dados das empresas, seja por violações de credenciais, como senhas, ou por e-mails maliciosos e phishing.

• Em junho de 2023, a polícia prendeu hackers que vendiam dados de ministros do STF, governadores e deputados. Os criminosos invadiram os sistemas de órgãos públicos e empresas privadas usando técnicas de engenharia social, que consistem em enganar os funcionários para obter informações confidenciais ou acesso remoto às máquinas.

• Em dezembro de 2022, uma companhia pública disse que foi alvo de ataque cibernético e teve dados cadastrais vazados. A empresa informou que o incidente ocorreu por meio de um e-mail falso enviado a um funcionário, que clicou em um link malicioso e permitiu a entrada dos hackers no sistema.

• Em outubro de 2022, uma montadora alertou para o vazamento de cerca de 296 mil informações de clientes. A montadora disse que o ataque cibernético ocorreu por meio de um acesso não autorizado ao seu sistema interno, que pode ter sido facilitado por algum erro humano ou falha na segurança da informação.

• Em setembro de 2022, o consulado sul-coreano fez um alerta após uma brasileira perder R$ 50 mil em um golpe. A vítima recebeu uma ligação falsa de um suposto funcionário do consulado, que pediu seus dados bancários e uma transferência para uma conta na Coreia do Sul. O golpe foi possível porque os hackers clonaram o número do telefone do consulado e usaram uma ferramenta de inteligência artificial chamada ChatGPT para imitar a voz do funcionário.


Esses são apenas alguns exemplos de notícias que mostram como os erros humanos podem comprometer a cibersegurança das empresas. 


O modelo de segurança Zero Trust


A adoção do modelo Zero Trust traz preceitos importantes para lidar como fator humano como risco cibernético. Com a adoção do preceito de “nada confiar e tudo verificar”, todo e qualquer procedimento, acesso e atividade deve ser validado com restrição máxima, trazendo uma maior relação de segurança quanto à ação de um usuário ao acessar os recursos computacionais de uma empresa. Soluções já estão disponíveis comercialmente atendendo a base de preceitos do modelo Zero Trust. Temos as soluções de Zero Trust Network Access da Ericom, o Enterprise EDRM da Fasoo e o Ericom Remote Browser Isolation. 


Aconselhamos a você estudar mais desse modelo de segurança e engajá-lo nas suas estratégias de segurança da informação de sua empresa.


Conclusão


O fator humano é um problema oculto da segurança cibernética, que requer uma abordagem multidimensional e integrada para ser enfrentado. A combinação de soluções tecnológicas com processos para melhorar a conscientização e o engajamento dos usuários pode levar a uma maior proteção e resiliência das organizações contra as ameaças e ataques cibernéticos. No entanto, também é importante considerar os fatores humanos na segurança cibernética, ou seja, as características cognitivas, emocionais e motivacionais dos usuários que podem influenciar seu comportamento e suas decisões em relação aos riscos cibernéticos.

A criptografia é essencial para a proteção de dados

30 abr., 2024
Criptografia: Protegendo Seus Dados com Eficiência

Olhando para o Futuro da Cibersegurança com o Gartner

Por Luis Figueiredo 28 mar., 2024
Previsões e Tendências Fascinantes do Gartner para a Cibersegurança
Formas geométricas em cores neon representando dados não estruturados protegidos por uma caixa forte

Dados não estruturados: como gerenciar e blindar as informações mais valiosas de sua empresa

Por Luis Figueiredo 14 fev., 2024
Os dados não estruturados representam cerca de 80% do volume total de dados gerados globalmente e muitas vezes contêm informações sensíveis que precisam ser protegidas
Share by: