Violações de dados e o fator humano: Os funcionários são a melhor defesa ou os elos mais fracos?

Embora as violações de dados normalmente sejam causadas por pessoas que deliberadamente tentam invadir um sistema com o uso de malware e hackers, ainda não é inteiramente exato supor que todas as violações são causadas por ataques externos. Uma pesquisa da Trend Micro, realizada em março de 2014, revelou que 19,8% dos entrevistados sofreram violações de dados a partir de sistemas internos.¹

¹ A pesquisa que cobriu 1.175 profissionais japoneses de segurança de TI e tomadores de decisão, também revelou que quase dois terços dos entrevistados tinham sofrido algum tipo de violação de dados.

Isso também não significa que as violações internas sejam deliberadas, às vezes, podem ser causadas por uma negligência do funcionário e por erros humanos comuns. Um exemplo recente disso foi o incidente em junho de 2015, quando um merceneiro australiano acidentalmente enviou uma planilha com informações de clientes e os códigos resgatáveis de aproximadamente 8.000 cartões de desconto para mais de 1.000 clientes. Consequentemente, os endereços de emails e outras informações de clientes foram expostos e o varejista teve que cancelar mais de $1 milhão de dólares em cartões de ofertas.² Esse é um exemplo perfeito de como a negligência ou um erro humano pode levar à perda financeira, perda de reputação ou ambas.

² Os clientes deveriam receber um email com um PDF de um voucher eletrônico anexo mas, ao invés disso, receberam uma planilha Excel com informações e códigos resgatáveis de clientes.

Negligência humana – ou por falta de cuidado ou por falta de conhecimento – é a razão dos cibercriminosos escolherem (e até preferirem) recorrer a artifícios. Simplesmente fica mais fácil para eles se infiltrarem em um sistema sem ter que usar métodos mais sofisticados.

Com essa informação, é preciso perguntar: os funcionários são os elos mais fracos em uma empresa? Em muitos casos de violações que envolveram negligência de funcionários e um envolvimento de alguém de dentro, parecem ser, com certeza, os elos mais fracos.³ E para os cibercriminosos, “pescar” informações de primeira linha através de funcionários desavisados pode se muito mais simples do que abrir caminho através de defesas da rede. Além disso, com o aumento de tecnologias forenses, como detecção de intrusão e monitoramento de rede, fica mais difícil para os cibercriminosos entrarem em um sistema, fazendo com que eles recorram a uma das táticas mais básicas, mas ainda eficaz: engenharia social.

³ 2014 viu muitos incidentes de violações de perfis causados por pessoas de dentro, atingindo organizações como a Barclays, AT&T, Amtrak e o Credit Bureau da Coreia.

Essa é a nova frente de batalha e as empresas precisam manter um equilíbrio entre investir em tecnologias de segurança e se comprometer a treinar seus funcionários de acordo com as melhores práticas da empresa.

Errar é humano, prevenir é divino

Dizem que o maior bem de uma empresa são seus funcionários. Embora isso seja verdade, também foi estabelecido que os funcionários podem ser o elo mais fraco quando se trata de segurança. Embora a segurança deve ser, em grande parte, responsabilidade do departamento de TI, os funcionários ainda são a primeira linha de defesa. Assim sendo, os funcionários precisam ser instruídos e treinados para se manterem vigilantes e defensivos contra potenciais ataques de segurança.

Alguns funcionários também são levados a pensar que como eles têm um software de segurança, estão a salvo de ataques. Mas muitas pessoas não sabem que apesar de existir um sistema de segurança, um comportamento relaxado na Internet ainda expõe a rede a ataques. Como já foi dito acima, muitos cibercriminosos focam nesse tipo de mentalidade e usam várias táticas de engenharia social para obter as informações que precisam para se infiltrarem no sistema. Mesmo o golpe mais básico pode ser usado para levar qualquer usuário a abrir anexos maliciosos ou clicar em links maliciosos.

Esses são alguns erros comuns que os funcionários cometem:

  • Hábitos descuidados de email – abrir descuidadamente emails suspeitos que contêm malware frequentemente leva ao download de arquivos maliciosos ou a sites que cibercriminosos usam para “pescar” informações que podem usar.
  • Senhas fracas – senhas fracas, curtas e, às vezes, expostas são normalmente exploradas por hackers e podem ser uma das maneiras mais fáceis para invadir um sistema. Além disso, alguns funcionários tendem a compartilhar suas senhas com outros.
  • Cair em táticas de engenharia social – sem conhecimento ou treinamento anterior pode ser difícil evitar armadilhas de engenharia social, como golpes de mídia social, spam malware que se escondem na popularidade de grandes notícias e eventos, e outros.
  • Práticas de backup fracas – deixar de fazer backup de dados aumenta as interrupções e as perdas quando uma empresa é atacada.
  • Hábitos de segurança fracos fora do trabalho – diferente dos dispositivos da empresa, os dispositivos do funcionário são inerentemente desprotegidos. Eles podem ter vulnerabilidades sem patches – ou no dispositivo ou no nível do SO que podem ser exploradas.
  • Conectar-se a redes Wi-Fi não protegidas – conectar-se a redes Wi-Fi públicas ou abertas pode permitir que os agressores capturem o tráfego de um ponto de acesso aberto e executem ataques como os ataques “man-in-the-middle” (MitM)

“Não podemos esquecer um outro componente de segurança: usuários finais. Por mais difícil que seja, os usuários finais precisam ser instruídos para não cairem em golpes simples.” –Raimund Genes, Trend Micro Chief Technology Officer

Embora isso possa ser verdade, não precisa continuar sendo assim. As empresas precisam resolver esse problema, dedicando-se a treinar adequadamente seus funcionários. O Diretor de Tecnologia da Trend Micro, Raimund Genes, enfatizou que “precisamos não nos esquecer de um outro componente de segurança: usuários finais. Por mais difícil que seja, os usuários finais precisam ser instruídos para não caírem em golpes simples.” Eles podem começar responsabilizando os funcionários que forem vítimas de golpes e esquemas. É importante lembrar que a adesão às politicas da empresa é uma coisa, mas desenvolver bons hábitos de segurança é outra. O último pode facilmente progredir com o tempo, com avisos e conhecimento constantes. Esses são os 5 mandamentos de segurança que todo funcionário deve saber:

  • Cuidado com anexos em emails – uma das maneiras mais rápidas de conseguir a atenção de um usuário é através de um email. Emails que contêm assuntos relacionados a ofertas, avisos, confirmações ou notícias devem ser verificados antes de serem abertos.
  • Use senhas exclusivas e fortes – repetidamente, os especialistas falam sobre o uso de senhas fortes e exclusivas.  Usar senhas fracas, como “senha” ou “1234” é como dar aos hackers as chaves de suas contas. Se possível, use um gerenciador de senhas e ative uma autenticação de dois fatores quando houver.
  • Não encadeie as contas – evite vincular contas online. Depois que um invasor consegue o acesso a uma conta, fica fácil obter outras contas simplesmente trabalhando em sentido reverso.
  • Faça backup regularmente – dados digitais são vulneráveis, tanto a ameaças quanto a falhas de sistema. Os backups podem diminuir os danos, no caso de acontecer alguma coisa.
  • Proteja todos os dispositivos – seja com o uso de aplicativos antirroubo e bloqueadores de tela, melhorando as configurações de segurança incorporadas ou instalando um software de segurança. Esses métodos devem ser aplicados logo, já que a perda ou roubo do dispositivo podem colocar em perigo os dados da empresa armazenados no dispositivo.

Publicado originalmente em Trend Micro US.