Só em 2021 foram registrados mais de 6 trilhões de dólares em prejuízos globais causados por ataques virtuais contra empresas e grupos diversos. Definir políticas consistentes de segurança cibernética não deve ser algo negligenciado para tornar as empresas mais protegidas.
Mas estas políticas de segurança são, muitas vezes, ignoradas pelos próprios colaboradores.
Saber quais razões levam a estes comportamentos de risco, como identificar e prevenir estas ações são coisas fundamentais para qualquer empreendimento que deseje manter competitividade, segurança e adequação às normas de proteção de dados.
Cenário preocupante
Durante os três primeiros meses de 2021, o Brasil ficou no topo da lista (dentre os países da América Latina) em ataques cibernéticos, totalizando mais de 3.2 bilhões de ataques (incluindo tentativas), praticamente 50% do total registrado no continente durante o período.
Contra as empresas, o principal tipo de ataque foi o de ransomware, onde os criminosos “sequestram”, através de criptografia, arquivos, dados, dispositivos ou até servidores inteiros, exigindo pagamentos para a devolução do acesso aos dados.
Estes sequestros são acompanhados de ameaças: sem o pagamento, os dados roubados são distribuídos pela internet. Entre 2020 e 2021, houve um aumento de 90% neste tipo de ameaça cibernética.
Em geral, o ambiente de segurança das informações é bem precário no Brasil. No ano passado, empresas como JBS, Fleury e Atento foram vítimas de ataques de ransomware, entre outras grandes empresas que tiveram exigências de pagamentos de valores de até R$50 milhões.
O aspecto fundamental do fator humano
Apesar dos investimentos em tecnologia e sistemas de segurança serem fundamentais para as políticas de segurança cibernética, o fator humano ainda é o elemento mais importante e decisivo.
A maior parte das ameaças contra empresas exploram algum tipo de falha humana. Então, os comportamentos dos funcionários, em todos os níveis, definem muito do quanto uma empresa é segura em termos de proteção de sistemas, equipamentos e dados.
Os maiores comportamentos de risco consistem, entre outras coisas, em:
– Ignorar políticas de segurança e protocolos internos: o primeiro fator de risco é a inadequação em relação às políticas de segurança definidas pela empresa, quando os colaboradores não seguem os processos definidos e, assim, colocam os sistemas em risco;
– Clicar em links suspeitos e baixar arquivos sem a devida confirmação: clicar em links e anexos enviados por e-mail, mensagens de SMS, mensagens em aplicativos de comunicação ou outros métodos sem a devida autorização e confirmação são a porta de entrada para ataques de phishing e ransomware;
– Usar dispositivos pessoais para atividades de trabalho: dispositivos pessoais (como smartphones, tablets, notebooks e outros) são, em geral, mais suscetíveis a ataques e ameaças digitais e, se usados indevidamente, acabam criando vulnerabilidades no ambiente empresarial;
– Compartilhar senhas pessoais e credenciais profissionais: compartilhar dados pessoais de acesso com outras pessoas (incluindo outros funcionários) é uma das falhas humanas mais comuns;
– Não tomar cuidado com equipamentos da empresa: colaboradores que usam equipamentos da empresa para trabalhar em ambientes externos muitas vezes se descuidam dos mesmos, criando oportunidades para roubo, extravio ou perda de aparelhos que contém dados sensíveis.
Os riscos do ambiente de home office
Com a pandemia, o aumento das pessoas que trabalham em modalidade de home office foi significativo. Apesar de representar comodidade para muitos trabalhadores e menos custos para as empresas, há uma tendência de maior exposição e riscos nesta modalidade.
Os ambientes corporativos possuem estruturas mais bem definidas e delimitadas para as atividades profissionais, o que não é tão bem estruturado em regimes de home office.
Os funcionários ficam mais vulneráveis a ataques de phishing, malware, ransomware, spyware e outras formas de ataques digitais usados para roubar dados e prejudicar pessoas e empresas.
Para reduzir estes riscos, as empresas devem definir políticas e protocolos de segurança para estes ambientes levando em consideração as especificidades deste modelo de trabalho.
Principais fatores de descuido dos funcionários
Segundo uma pesquisa publicada pela Harvard Business Review, 67% dos entrevistados disseram não conseguir seguir adequadamente as políticas de cibersegurança definidas pelas empresas.
E 85% afirmaram que as principais causas para o descumprimento das normas de segurança foram necessidades de concluir as próprias tarefas de trabalho e ajudar colegas com suas atividades. Só 3% disseram agir de forma intencional para causar prejuízo às empresas.
Entre as principais causas dos comportamentos de falha humana em termos de segurança digital, o estresse é o fator predominante. A maioria relata que o estresse e o conflito entre atividades pessoais e atividades profissionais causa incapacidade de seguir adequadamente as políticas de segurança.
A falta de treinamento adequado e de sistemas para monitorar e auxiliar nas atividades dos funcionários também são fatores que aumentam os riscos de falhas humanas.
Práticas de responsabilidade e segurança digital
Apesar de o número de ameaças cibernéticas aumentar contínua e rapidamente, há comportamentos que ajudam a melhorar a segurança no ambiente corporativo e, fora dele, o trabalho em home office (ou qualquer outro lugar).
Manter antivírus profissionais e um firewall sempre ativo também vale a pena, assim como manter backups dos arquivos e dados em serviços seguros de nuvem, o que diminui os riscos e danos de ataques de ransomware.
O uso de serviços profissionais de VPN também é altamente recomendável, já que elas protegem a conexão através de criptografia forte, aumentando a segurança dos dados e a privacidade das atividades online. Vale a pena conferir o que é VPN e como elas podem proteger sistemas, dados e conexões.
As pessoas são o elemento mais fundamental para qualquer empresa, e isto também se aplica à segurança digital. Equipes valorizadas, bem treinadas e com condições adequadas de trabalho reproduzem menos os comportamentos de risco que abrem brechas para ataques e ameaças internas e externas.