A criação de uma forte cultura de segurança cibernética é fundamental para o bom funcionamento das operações de uma empresa, especialmente à medida que os ataques se tornam mais avançados. Renee Tarun, vice-CISO/vice-presidente de segurança da informação da Fortinet, discute as etapas de como os líderes de TI podem estabelecer uma linha de base para uma boa proteção cibernética e garantir que seus funcionários levem a segurança cibernética a sério
Durante a primeira metade de 2020, a equipe do FortiGuard Labs descobriu que ambientes de trabalho em evolução e uma maior dependência de dispositivos pessoais apresentavam novas oportunidades para os cibercriminosos explorarem redes corporativas. Um método no qual os agentes de ameaças têm confiado fortemente nos últimos tempos é a criação de e-mails de phishing de aparência legítima que podem ser usados para adaptar e lançar ataques com facilidade. Embora essa não seja uma tática nova, esses tipos de ataques só ficaram mais sofisticados e prejudiciais à medida que os funcionários continuam a trabalhar remotamente e permanecem isolados de suas equipes.
A necessidade de mitigar o risco de ameaças internas
Quer saibam ou não, os funcionários podem representar um risco significativo para a segurança das redes corporativas e dos dados que mantêm. Considerando que 68% das organizações se sentem de moderadas a extremamente vulneráveis a ataques internos, conforme observado em um estudo recente, fica claro o quão significativo é esse problema. Além daquelas que são consideradas insiders mal-intencionados, essas ameaças também podem ser atribuídas ao grupo conhecido como “insiders acidentais”.
De acordo com esse mesmo estudo, as equipes de segurança veem as vítimas de ataques de phishing (38%) como a principal causa de ameaças internas acidentais, seguido por spear phishing (21%), senhas ruins (16%) e navegação em sites suspeitos (7%) Em outras palavras, abrir a porta para os cibercriminosos pode ser tão simples quanto clicar em um link ou baixar um arquivo sem perder tempo para determinar se ele é legítimo ou não.
Comportamentos descuidados e negligentes podem ter um efeito duradouro nas organizações, especialmente no caso de violação de dados. E com mais funcionários trabalhando em casa, incapazes de ir até a mesa de um colega de trabalho para obter seus pensamentos sobre um e-mail de aparência suspeita, esses indivíduos são mais suscetíveis a ataques.
Com isso em mente, é mais importante do que nunca que os CISOs priorizem a conscientização de seus funcionários sobre a segurança cibernética para ajudá-los a entender o papel que desempenham em manter as redes seguras e reduzir o risco de ameaças internas.
Criação de um firewall humano por meio de uma cultura de segurança
Considerando que os funcionários podem ser a melhor linha de defesa, é crucial que os CISOs protejam suas organizações incluindo a educação e a conscientização dos funcionários em sua estratégia de segurança cibernética. Ao adotar essa técnica, os líderes podem garantir que a força de trabalho esteja preparada para enfrentar as várias ameaças.
Independentemente dos cargos ou funções, todos os funcionários devem compreender as repercussões de um evento de segurança e como isso pode afetar a organização e eles pessoalmente. A importância dessa abordagem estratégica em toda a empresa foi destacada em uma pesquisa da Forbes Insights de 2019 com mais de 200 CISOs. Quando questionados sobre quais iniciativas de segurança planejam priorizar em termos de financiamento nos próximos cinco anos, 16% dos entrevistados notaram a criação de uma cultura de segurança.
Embora isso seja um passo na direção certa, o estabelecimento de uma base para uma boa proteção cibernética deve começar com os CISOs ajudando seus funcionários a levar a segurança cibernética a sério. Isso pode ser alcançado das seguintes maneiras:
- Priorize o treinamento de conscientização cibernética
Os ataques de engenharia social são extremamente prevalentes nas organizações simplesmente porque funcionam. Na verdade, o Relatório de Investigações de Violação de Dados (2019 Data Breach Investigations Report, DBIR, sigla em inglês) de 2019 da Verizon concluiu que aproximadamente um terço de todas as violações de dados envolveram phishing de uma forma ou de outra. Para combater esse risco, os CISOs devem educar seus funcionários sobre ataques comuns que podem aparecer na forma de phishing, spear phishing, smishing ou outros golpes de suporte técnico.
Se essas aulas são fornecidas por meio de espaços de reunião online, chat de vídeo ou e-mail, elas devem ser priorizadas. Compreender essas ameaças e seus sinais de alerta associados será fundamental para ajudar os funcionários a evitar serem vítimas de e-mails falsos ou sites maliciosos.
Além de ensinar sobre indicadores comuns de ciber-golpes (ou seja, a promoção de ofertas “gratuitas”), essas ofertas de treinamento também devem apresentar exercícios de phishing simulados projetados para testar o conhecimento e determinar quais funcionários podem precisar de mais assistência. Por meio de táticas como essas, os funcionários estarão mais bem equipados para saber quando são o alvo de um ataque de engenharia social e podem, portanto, agir de acordo.
O NSE Training Institute da Fortinet oferece um serviço gratuito de treinamento de Conscientização sobre Segurança da Informação para educar os funcionários sobre os riscos crescentes de ataques cibernéticos e como identificar ameaças.
2. Crie uma parceria entre a equipe de segurança e outros departamentos
A segurança cibernética não pode recair apenas sobre os ombros das equipes de segurança e TI; especialmente porque as ameaças cibernéticas continuam a se tornar mais sofisticadas e difíceis de detectar. Além de garantir que os funcionários possam identificar ataques de phishing, os líderes também devem incentivar a colaboração entre a equipe de segurança e outros departamentos. Isso significa ajudar os dois lados a entender as expectativas.
Enquanto a equipe de segurança será a especialista em termos de determinação de riscos e ameaças, outros departamentos serão essenciais para ajudar a desenvolver políticas amigáveis ao usuário que sejam fáceis de seguir tanto no escritório quanto em ambientes de trabalho remotos, mesmo para aqueles que são não totalmente cibernético.
Por meio de esforços colaborativos, os CISOs podem garantir que todos os indivíduos da organização não apenas estejam cientes das políticas de segurança, mas também entendam o impacto que suas ações podem ter na organização como um todo. Ajudar os funcionários a compreender as práticas seguras de segurança cibernética e as ramificações que suas ações podem ter deve levar a melhorias na forma como esses indivíduos respondem quando confrontados com um e-mail ou site suspeito, mesmo quando trabalham em casa.
Quando os funcionários sabem o que é esperado e sentem que fazem parte da equipe, eles são mais encorajados a seguir as melhores práticas e ajudar a eliminar os comportamentos que causam problemas internos acidentais, como esquecer de alterar as senhas padrão ou negligenciar o uso senhas. E, à medida que mais funcionários fizerem o mesmo, o firewall humano atuando como a primeira linha de defesa da organização ficará cada vez mais forte.
3. Estabeleça as melhores práticas diretas
Mesmo depois que os funcionários estão cientes do que procurar no caso de um ataque de engenharia social, eles ainda podem precisar de alguma orientação quanto às próximas etapas. Embora seja fácil ignorar ou excluir um e-mail de aparência suspeita, o que acontece com aqueles que parecem normais e sobre os quais o destinatário ainda não tem certeza? Nesse cenário, os CISOs devem encorajar os funcionários a se fazerem certas perguntas para ajudar a fazer o julgamento correto: eu conheço o remetente? Eu estava esperando este e-mail? Este e-mail está invocando uma emoção forte, como empolgação ou medo? Estou sendo instruído a agir com urgência?
Embora essas perguntas devam ajudar a esclarecer qualquer confusão sobre se o e-mail é malicioso, o destinatário ainda deve tomar medidas extras para proteger a si mesmo e à sua organização. Isso inclui passar o mouse sobre os links para ver se eles são legítimos antes de clicar, não abrir anexos inesperados, ligar para o remetente para verificar se ele realmente enviou o e-mail e relatar todos os e-mails suspeitos para a equipe de TI ou de segurança. Ao explicar essas etapas aos seus funcionários desde o início, os CISOs podem evitar repercussões negativas no futuro.
A capacidade de estar cibernético é uma peça crítica do quebra-cabeça quando se trata de manter as organizações seguras. Quer os funcionários percebam ou não, suas ações podem abrir a porta para que os cibercriminosos acessem informações confidenciais, o que significa que a passividade em relação à segurança não é mais aceitável.
Ao priorizar o treinamento e a colaboração entre os departamentos e a equipe de segurança, os CISOs podem estabelecer as bases para uma forte cultura de segurança. A identificação de comportamentos suspeitos, a manutenção de dispositivos atualizados e a prática de comportamento cibernético seguro devem ser incorporados à estrutura de todas as funções de trabalho para garantir que o firewall humano continue firme.