As organizações foram forçadas a se adaptar rapidamente nos últimos meses, uma vez que os lockdowns do governo mantiveram a maioria dos trabalhadores em suas casas. Para muitos, as mudanças feitas podem se tornar permanentes à medida que um trabalho mais distribuído se torna a norma. Isso tem implicações importantes para a cibersegurança. Os funcionários são frequentemente descritos como o elo mais fraco da cadeia de segurança corporativa, sendo assim, teriam eles se tornado uma responsabilidade ainda maior por trabalharem em casa?
Infelizmente, um grande estudo novo da Trend Micro descobriu que, embora muitos estejam mais antenados durante o lockdown, maus hábitos persistem. Os CISOs que buscam aumentar o treinamento de conscientização do usuário podem obter um melhor retorno sobre o investimento se tentarem personalizar estratégias de acordo com personas específicas do usuário.
O que descobrimos
Pesquisamos 13.200 trabalhadores remotos em 27 países para compilar o estudo Head in the Clouds. Ele revela que 72% se sentem mais conscientes das políticas de cibersegurança de sua organização desde o início da quarentena, 85% afirmam levar as instruções de TI a sério e 81% concordam que a segurança cibernética é parcialmente sua responsabilidade. Quase dois terços (64%) até admitem que o uso de apps não profissionais em um dispositivo corporativo é um risco.
Apesar desses aprendizados durante o lockdown, muitos funcionários estão mais preocupados com a produtividade. Mais da metade (56%) admite usar um app não profissional em um dispositivo corporativo e 66% carregou dados corporativos nele; 39% dos entrevistados “frequentemente” ou “sempre” acessam dados corporativos a partir de um dispositivo pessoal; e 29% acham que podem se safar com o uso de um app que não é de trabalho, pois as soluções apoiadas por TI são “absurdas”.
Esta é uma receita para a shadow IT e níveis crescentes de risco cibernético. Também ilustra que as abordagens atuais do treinamento de conscientização do usuário estão escassas. De fato, muitos funcionários parecem estar cientes de como são as práticas recomendadas, apenas optam por não segui-las.
Quatro personas de segurança
É aqui que entra a segunda parte da pesquisa. A Trend Micro contratou a Dra. Linda Kaye, Acadêmica de Cyberpsychology da Edge Hill University, para analisar quatro personas de funcionários com base em seus comportamentos de cibersegurança: medrosos, conscientes, ignorantes e audaciosos.
Dessa forma: os funcionários medrosos podem se beneficiar do treinamento de ferramentas de simulação como o Phish Insight da Trend Micro, com feedback em tempo real dos controles de segurança e orientação.
Funcionários conscientes requerem muito pouco treinamento, mas podem ser usados como exemplos de bom comportamento e para se unir a “amigos” de outros grupos.
Usuários ignorantes precisam de técnicas de “gamificação” e exercícios de simulação para mantê-los engajados no treinamento e também podem exigir intervenções adicionais para entender verdadeiramente as consequências do comportamento arriscado.
Os funcionários imprudentes são talvez os mais desafiadores, porque seus erros são resultado não da ignorância, mas por acharem que sabem mais que os outros. As organizações podem precisar usar esquemas de premiação para promover o compliance e, em circunstâncias extremas, intensificar os controles de prevenção e segurança contra perda de dados para mitigar seu comportamento arriscado.
Ao entender que não há dois funcionários iguais, os líderes de segurança podem adaptar sua abordagem de maneira mais diferenciada. A divisão da equipe em quatro campos deve garantir uma abordagem mais personalizada do que as sessões de treinamento que a maioria das organizações realiza hoje.
Por fim, o trabalho remoto só funciona se houver um alto grau de confiança entre os gerentes e suas equipes. Uma vez que a pandemia recue e a equipe seja tecnicamente permitida de volta ao escritório, essa confiança precisará ser recuperada para que eles continuem se beneficiando de um ambiente de trabalho em casa.