Há muitas maneiras pelas quais as pessoas jogam com as vulnerabilidades da segurança cibernética hoje em dia. Por isso, investir em capacitação de usuários é tão urgente quanto adquirir soluções de ponta

Não é surpresa: os seres humanos são a parte mais vulnerável do sistema de segurança de qualquer organização. Somos movidos por nossas necessidades pessoais, emoções e motivações, o que nos torna mais propensos a engajar em comportamentos de risco do que a agir com a razão. Neste pacote, há de se considerar, ainda, os fatores da distração e da falta de conhecimento.   

Por esse motivo, não é exagero dizer que os maus hábitos de interação com a tecnologia podem ser um dos maiores problemas para as organizações que enfrentam ciberataques hoje em dia. Isso não se deve apenas à quantidade de senhas comuns que existem por aí (por exemplo, "123456″ ou a própria data de aniversário), ou como algumas pessoas ainda reutilizam suas senhas em múltiplas contas. Um dos grandes desafios para a integridade das empresas é que, muitas vezes, existe uma falsa sensação de segurança dos colaboradores, em geral, ao assumir que não serão vítimas de um ataque cibernético – ou porque não se consideram “atraentes” a um criminoso, ou porque acreditam que não têm nenhuma informação valiosa em suas máquinas. Assim, muitos usuários acabam negligenciando facilmente o ambiente digital de onde trabalham. 

Segundo o Relatório de Investigações de Violação de Dados de 2022 da Verizon, empresa americana especializada em telecomunicações, 82% das violações de dados envolvem um elemento humano. Então, mesmo que o usuário considere sua máquina livre de dados relevantes, ele pode cometer um deslize e ser uma porta de entrada para o hacker atacar toda a rede da organização. 

Um jogo perigoso 

Criminosos sabem muito bem como capitalizar os instintos humanos, como medo, raiva, curiosidade e ganância. Basta um e-mail apelativo, que mexa com as emoções (uma cobrança, um prêmio, uma ameaça), para que o usuário desavisado seja vítima de um ataque de phishing ao abrir um link ou um arquivo com um malware de brinde. “É como os hackers atuam: induzem uma pessoa ao erro e, a partir disso, conseguem abrir uma brecha para se infiltrar e realizar o ataque”, diz Claudio Giulliano, CEO da Folks.  

Há o fator técnico na equação, evidentemente. “Existem falhas nos softwares dos sistemas operacionais, que também viabilizam a invasão de sistemas e banco de dados, e, consequentemente, de um ataque de ransomware. Aí, os criminosos exploram as vulnerabilidades dessas soluções que, muitas vezes, não são atualizadas”, explica Claudio. “É como um aplicativo: tem que atualizar porque existem requisitos de segurança, brechas que estão abertas. Os hackers usam essas vulnerabilidades para invadir sistemas, sequestrar dados e pedir resgate. Eles ficam sempre de olho nas falhas técnicas e humanas”, completa. 

Encarar a realidade é preciso 

Seres humanos vão continuar errando, isso é fato. Entretanto, minimizar as chances de falhas e os danos que elas possam causar é mandatório para qualquer organização que queira ter vida longa. Como fazer isso? Segundo Claudio Giulliano, as instituições devem se proteger tomando diversas medidas em termos de tecnologia, de políticas e de pessoas. Para começar, é necessário criar políticas de segurança, definindo diretrizes claras sobre o que é ou não permitido fazer no ambiente digital. Em seguida, é essencial treinar todos os colaboradores da instituição, de todas as áreas, sobre essas políticas. Afinal, são as pessoas que estão na linha de frente de qualquer empresa. Depois, as organizações precisam investir em ferramentas que consigam automatizar essas políticas de segurança.  

Outra iniciativa importante, de acordo com o CEO da Folks, é buscar uma visão externa, ou seja, uma consultoria que possa fazer a análise das vulnerabilidades. E, por fim, garantir o engajamento da alta direção, para que ela conheça esses pontos fracos e dê à cibersegurança a devida prioridade, a fim de evitar incidentes. “O comportamento humano e a falta de uma real cultura de proteção à informação são os principais fatores que fazem com que os ciberataques aconteçam”, aponta Claudio Giulliano. 

Por fim, é importante lembrar que a capacitação não deve ser um evento único. É uma medida permanente, até porque, a natureza dos ataques muda constantemente.

“Os treinamentos disponíveis hoje em dia são diversos e podem acontecer por Educação à Distância (EAD) ou presencial. Podem ser sobre o uso racional de aplicativos, regras para uso de sites, uso adequado de email e Whatsapp. Também tem treinamento para a própria LGPD. Enfim, se a gente capacita, fiscaliza, coloca todo mundo consciente do seu papel na cibersegurança, a tendência é melhorar. Isso tem de ser feito de maneira organizada, intensa e periódica, para que essas pessoas possam fechar as brechas abertas”, finaliza Claudio Giuliano.