Com a chegada da Lei Geral de Proteção de Dados (LGPD), todas as empresas estão mais atentas (ou pelo menos deveriam estar) para evitar vazamentos de dados e ataques cibernéticos que coloquem em risco qualquer negócio, seja ele pequeno, médio ou grande. Acompanhando as notícias do mundo da tecnologia, ouvimos falar em ransomware, tipo de vírus que sequestra informações e que assola companhias do mundo todo, causando milhões de dólares em prejuízo. Muito se fala também de phishing e spoofing, quando uma pessoa se passa por outra usando e-mail, propagandas, mensagens no WhatsApp e outros meios de comunicação digital.
Quando pensamos em mecanismos para evitar esses tipos de ataques, logo resumimos a solução à busca de profissionais de Tecnologia da Informação para realizar a implementação de softwares potentes. Porém, o principal ativo dos ataques bem sucedidos não são computadores que ficam numa sala aguardando pelos cibercriminosos. São as pessoas. E quando falo em pessoas eu me refiro aos próprios colaboradores das empresas, que sem saber abrem um e-mail estranho, enviam algum dado sigiloso pensando que estão falando com alguém da diretoria ou instalam algum programa enviado como anexo. Por isso não exagero ao afirmar que basta que o criminoso digital engane apenas um colaborador para colocar em risco toda a empresa.
De acordo com o relatório The Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within, feito pela Kaspersky, empresa russa especializada na produção de softwares de segurança para a internet, a falta de cuidado dos colaboradores facilitou os ataques em 46% dos incidentes de cibersegurança em 2019.
A empresa também apontou que, no Brasil, 24% dos incidentes na nuvem são provocados por técnicas de engenharia social, quando cibercriminosos fazem um contato por telefone ou e-mail com colaboradores e conseguem uma série de informações relevantes para planejar e realizar um ataque. A pesquisa apontou que apenas 15% dos problemas decorrem de falhas nas ações dos provedores.
Também nesse ano, um relatório da multinacional Verizon analisou mais de 40 mil incidentes de segurança em todo o mundo. O resultado foi que cerca de 35% de todas as violações de dados ocorreram devido à falha humana. Ainda de acordo com a Verizon, executivos do alto escalão têm nove vezes mais probabilidade de serem alvos de violações online. Isso significa, na prática, que os efeitos de um ataque podem causar grandes danos e perdas. É uma porcentagem alta e preocupante.
Os dados indicam que as empresas precisam investir em conscientização de segurança, o que vai muito além de softwares de proteção avançada. Para os colaboradores, a equipe de TI pode ser vista como aquela que resolve os problemas do computador. Esse pensamento não é culpa deles, claro. É necessário mostrar aos colaboradores que eles também fazem parte da segurança da informação da empresa e capacitá-los para estarem prontos para agir, tomando precauções com relação aos dados da companhia, reduzindo riscos da empresa e contribuindo para melhorar processos. Todos devem estar sempre prontos para ataques e ter os canais próximos para relatar as tentativas.
Para isso, é necessário treinar os colaboradores para enfrentar os desafios do dia a dia da tecnologia, tanto na internet pelo computador quanto no celular, preparando também para evitar a já citada engenharia social. O primeiro passo para criar uma política de segurança da informação é analisar as principais diretrizes que devem ser adotadas pela empresa na busca pela proteção dos dados. Evitar exposição desnecessária, não comentar os negócios da empresa, não postar fotos, não abrir e-mails desconhecidos, não abrir boletos de pagamentos, cuidados com acessos externos, leitura das políticas de privacidade e não repassar senhas são algumas das práticas básicas que devem constar nesse "glossário da segurança". Essas práticas, aliás, podem ser estendidas a prestadores de serviços, terceirizados e clientes, que também fazem parte da troca de informações entre a empresa e acabam sendo também alvos dos golpistas.
Pensar sobre educação e consciência de segurança é tão importante quanto pensar em investimento em software e ferramentas de proteção. Imagine que um funcionário abriu um anexo malicioso recebido por e-mail em um ataque de phishing. Uma ferramenta avançada de segurança de e-mail combinada com treinamento prático dentro da empresa provavelmente evitará o ataque. Investir na criação de um plano de resposta a incidentes é outra dica valiosa. E, é claro, apostar em profissionais preparados para integrar a equipe.
A melhor forma de fortalecer a segurança das empresas é investindo em treinamento contínuo de todos os colaboradores, principalmente aqueles que não são da área de TI. É importante que todos saibam como identificar diferentes tipos de ameaças e entender nomenclaturas técnicas, como phishing e spam. Só então a empresa estará ainda mais segura.
*Paulo Costa é superintendente de TI da Neoconsig
*Fernando Weigert é administrador de empresas e diretor da Neoconsig
