Falhas de segurança acontecem. Infelizmente, no mundo sempre conectado e altamente digitalizado de hoje, é inevitável e uma questão não de se, mas de quando. Precisamos apenas olhar as notícias durante as primeiras semanas de 2023 para ver várias violações de alto perfil relatadas, incluindo T-Mobile e Mailchimp. As empresas, seus clientes e seus funcionários devem permanecer em alerta máximo nos próximos meses para o aumento das tentativas de phishing de agentes de ameaças usando credenciais do ataque.
Muitas dessas violações são atribuídas a funcionários sendo manipulados socialmente, destacando a importância de os funcionários estarem mais conscientes de seu papel na segurança cibernética e de as empresas terem treinamento de segurança eficaz e cuidadoso e sistemas de segurança intuitivos. Os usuários são a maior vulnerabilidade de uma organização; um conhecido vetor de ataque para exfiltração de dados que infelizmente não pode ser completamente fechado. Hoje, as organizações têm uma grande variedade de usuários e qualquer funcionário, parceiro ou fornecedor de qualquer nível dentro da empresa pode apresentar um vetor através do qual um hacker pode se infiltrar na organização.
Adoção de uma cultura de segurança
Os líderes empresariais precisam estar muito mais conscientes do papel que desempenham e de como promovem uma cultura de segurança, ao mesmo tempo em que buscam sistemas de segurança mais abrangentes para defender a organização. Essa estratégia também deve incluir uma compreensão completa de quem tem acesso a quê e quem está usando e interagindo com sistemas críticos. Em essência, a segurança é responsabilidade de todos e se o gerenciamento em todos os níveis não estiver cumprindo e encorajando regularmente a conscientização sobre segurança em toda a organização, isso deve ser visto pela empresa como uma grande lacuna de desempenho.
Ao mesmo tempo , o erro humano é usado com muita frequência como um motivo abrangente quando ocorre uma violação, com os funcionários sendo culpados por não serem vigilantes o suficiente. Essa mentalidade sugere que a empresa está contando com um sistema que exige que os humanos se comportem perfeitamente e nunca cometa erros, como clicar em links de phishing ou direcionar um e-mail incorretamente. A equipe responsável por projetar e implementar sistemas precisa pensar sobre o que pode dar errado, com base na suposição de que erros serão cometidos. Usando um exemplo clássico de um funcionário ocupado ou distraído clicando em um link que cria um comprometimento, toda empresa deve considerar como seus sistemas podem detectar e prevenir esse vetor de ataque, mas também deve colocar em prática medidas para parar e conter o ataque quando ele inevitavelmente atravessa as defesas.
Beber café envenenado
Olhando de outra forma, se um cliente receber um café envenenado, a culpa é do cliente se ele o beber? ? Não, geralmente colocaríamos a culpa no sistema que permitiu que tal coisa acontecesse em primeiro lugar. Em termos de gerenciamento de risco, é muito improvável que o cliente seja envenenado, mas se isso acontecer, é preciso haver mudanças sistêmicas que impeçam que isso aconteça novamente, ao invés de culpar a pessoa por ter bebido o café envenenado.
Para que a conscientização de segurança funcione, ela precisa se estender por toda a empresa, considerando como os funcionários fazem seu trabalho, assumindo que eles ficarão cansados, estressados e, posteriormente, cometerão erros. O sistema deve levar em conta todos esses cenários. O sistema perfeito não existe, mas os líderes de negócios precisam acomodar o comportamento incorporando mudanças sistêmicas e buscando defesa em profundidade à medida que as ameaças se desenrolam.
Além disso, a cultura de segurança precisa incluir treinamento envolvente e ponderado evitar a culpabilização da vítima e a punição de quem cai na armadilha do criminoso. Até certo ponto, a segurança deve sempre contradizer a usabilidade-não deve ser tão fácil acessar os dados e deve fazer as pessoas pararem e pensarem. Deve haver um equilíbrio entre usabilidade e segurança-o acesso não deve ser tão difícil que os funcionários não queiram trabalhar na organização, nem tão fácil que qualquer pessoa possa acessar o sistema.
Ficar na zona de segurança
Então, quais soluções as organizações podem implementar para ajudar os usuários a permanecer na zona de segurança?
– Gerenciadores de senhas tornar mais fácil para os usuários nunca terem que se lembrar de senhas, o que levará ao uso de senhas mais complexas e únicas para cada site.
– Autenticação de dois fatores também ajuda a colocar outra camada de controle na proteção de dados.
– Automatizar o logon único para a integração e a saída de funcionários significa que eles só têm acesso aos dados de que precisam e, quando não precisam, esse privilégio é revogado imediatamente.
– Cofres de credenciais e a segmentação da organização permite a organização para entender o particionamento de acesso para que apenas aqueles que precisam de acesso o obtenham e somente quando precisarem.
– A implementação de uma abordagem de confiança zero de’não confiar em ninguém’garante que apenas alguns indivíduos tenham acesso a partes da rede. Firewalls internos e firewalls de aplicativos adicionam um alto nível de controle granular.
– Usar o aprendizado de máquina para observar a rede e realizar a modelagem de ameaças fornece informações valiosas e reações rápidas às ameaças.
Os seres humanos são infinitamente hackeáveis, portanto, os sistemas devem ser projetados em torno de como eles irão falhar. As organizações precisam implementar camadas de segurança e pensar em como elas podem dificultar que as pessoas façam coisas erradas. Mudanças sistêmicas precisam ser implementadas para reagir quando as situações acontecem. As organizações devem projetar sistemas que sejam seguros e fáceis de navegar para que os usuários não contornem a segurança, mas a adotem.
Torne o treinamento envolvente e divertido
E, finalmente, as organizações devem tornar o treinamento divertido e reforçar a importância de ter uma cultura de segurança positiva. Isso significa garantir que os executivos estejam modelando os comportamentos adequados e garantindo que os funcionários de todos os níveis da organização entendam isso.
Quando há uma violação, o treinamento corporativo geralmente é descartado como penalidade ou as organizações usam o treinamento apenas para obter certificações para provar que os funcionários foram treinados em segurança cibernética. Como resultado, o treinamento é chato, ninguém presta atenção e se torna um exercício de caixa de seleção. Incentivos devem estar em vigor e o treinamento deve ser envolvente e eficaz para que resulte no resultado certo: conscientização de segurança para melhorar a segurança, não apenas passar em uma auditoria. Idealmente, as organizações devem ter uma cultura positiva em relação à segurança, para que não precisem confiar sempre na verificação de envenenamento de seu café.
Crédito da imagem: Goodluz/Shutterstock
Brian Knudtson é Diretor de Inteligência de Mercado de Produtos, 11:11 Systems,