Pular para o conteúdo principal

Funcionários podem tornar uma empresa vulnerável?

Dissemos sempre que medidas técnicas não são suficientes para proteger negócios de ciberameaças. É completamente possível que uma pessoa seja responsável por anular o efeito da estratégia elaborada por um time de segurança inteiro. Em muitos casos, pode se tratar de um erro sem malícia, resultado de falta de conhecimento. Por isso, muitas empresas (de acordo com nossos dados, 65%) investem em treinamentos de cibersegurança para funcionários.
Apesar dessa decisão acertada, nem tudo são flores. A pessoa que decide que a capacitação deve ser desenvolvida não é necessariamente a responsável por organizá-la. Por mais que o primeiro indivíduo enxergue o problema, o segundo talvez não entenda do que se trata um treinamento em cibersegurança, como capacitar uma equipe, ou sequer o porquê desse conteúdo ser relevante.

Entendendo o problema

Vamos imaginar que você recebeu a tarefa de implementar políticas de consciência em cibersegurança. Primeiro, o que isso significa? Para deixar claro, trabalhamos com a B2B International para angariar informações de 5000 empresas ao redor do mundo e seu impacto individual em funcionários em certos incidentes de cibersegurança. Em suma, descobrimos:
  • 46% dos incidentes no ano passado envolveram colaboradores que comprometeram suas empresas sem qualquer intenção.
  • Das empresas afetadas por softwares maliciosos, 53% disseram que a infecção poderia ter evitada se os funcionários tivessem mais atenção, enquanto 36% culpam engenharia social (alguém enganou os colaboradores intencionalmente);
  • Ataques envolvendo phishing e engenharia social foram bem sucedidos em 28% dos casos;
  • Em 40% dos casos, colaboradores tentaram esconder o incidente, amplificando os danos e comprometendo ainda mais a segurança da empresa;
  • Quase metade dos entrevistados preocupam-se com a possibilidade de seus funcionários revelarem informações corporativas por meio do dispositivo que levam para o escritório.
Para visualizar o texto completo da pesquisa (em inglês), use o link abaixo que o ajuda a entender o “Por que se preocupar com consciência em cibersegurança?”

Como conscientizar sobre cibersegurança

O “como” da equação também é bem importante. Há diversos cursos, palestras e workshops disponíveis. Todavia, treinamento significa gastar tempo e dinheiro. E, claro que você precisa ter garantias de que terá resultado.
Tome como exemplo o caso da ocorrência não reportada. Você pode reunir funcionários e explicar a importância de relatar os incidentes de cibersegurança. Eles dirão que entendem – e continuaram a escondê-los, na tentativa de evitar a responsabilidade.
Uma abordagem ainda melhor é entender a motivação. Em muitos casos, funcionários foram informados sobre as regras por seus gerentes ou responsável de segurança da informação, mas ninguém explicou as razões de terem sido estabelecidas. Às vezes, a pessoa designada para apresentá-las também precisa de treinamento, focado em transmitir a mensagem de forma assertiva.

Saber o que ensinar

Para lidar com ameaças sofisticadas, a empresa deve funcionar como um organismo saudável, dividida em diversos times com diferentes atribuições. Naturalmente, isso significa que essas equipes precisam aprender sobre coisas diferentes. A gestão corporativa tem de estar ciente dos riscos e entender profundamente os possíveis custos financeiros e de reputação. Gerenciamento preventivo e planejamento de segurança requerem entendimento das ameaças e dos procedimentos de atuação de modo a favorecer a ciberresiliência, e também demandam a capacidade de comunicação apropriada com os funcionários. Já para especialistas, o conhecimento sobre os ataques é menos importante do que a habilidade de os evitar.
Por isso, nossa abordagem inclui diferenciar os colaboradores por hierarquia e funções:
A Dereco Tecnologia é uma empresa parceira da Kaspersky no Brasil. 
Somos um consultoria de ti e prestamos serviços de segurança de informação.
Consulte-nos

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Importância do Bitdefender Gravityzone para compliance do LGPD

O Bitdefender GravityZone desempenha um papel crucial na conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil, que estabelece diretrizes rigorosas sobre o tratamento de dados pessoais.  A seguir, estão alguns pontos-chave sobre como essa plataforma de segurança contribui para a conformidade com a LGPD: Proteção de Dados Pessoais:  O GravityZone oferece proteção abrangente contra diversas ameaças cibernéticas, como ransomware e phishing, que podem comprometer dados pessoais.  A LGPD exige que as empresas implementem medidas de segurança para proteger informações sensíveis, e o GravityZone ajuda a atender a essa necessidade  Gerenciamento de Segurança:  A plataforma permite que as empresas mantenham e atualizem seus softwares de antivírus e firewalls, que são essenciais para a proteção da rede.  A manutenção de protocolos de segurança robustos é uma exigência da LGPD, e o GravityZone facilita essa tarefa  . Criptografia de Disco C...
Postar um comentário
Leia mais

Bitdefender se destaca nas avaliações do MITRE ATT&CK®

  A Bitdefender, líder global em segurança cibernética, anunciou hoje resultados excepcionais nas avaliações empresariais MITRE Engenuity ATT&CK® 2024. A Bitdefender demonstrou eficiência incomparável, exigindo uma média de apenas três alertas para identificar e relatar incidentes ao centro de operações de segurança (SOC), superando em muito a mediana de 209 alertas de outras soluções testadas. As avaliações, conduzidas por meio de rigorosos testes independentes simulando comportamento e técnicas do adversário, avaliaram as capacidades de detecção e proteção de 19 fornecedores participantes. Este ano, a MITRE introduziu duas novas métricas principais — 'Total de alertas gerados' e 'Falsos positivos' — para medir melhor a capacidade de ação e a eficácia das soluções dos fornecedores. “As equipes de segurança estão sob pressão para melhorar o tempo de resposta, pois ransomware e ataques sofisticados patrocinados pelo estado se tornam mais frequentes”, disse Dragos Gav...
Postar um comentário
Leia mais

Proteção de Endpoint e Antivírus Corporativo

Introdução Nos últimos anos, os incidentes de segurança cibernética têm se tornado cada vez mais frequentes e complexos. Ataques como ransomware, phishing e malware são apenas algumas das ameaças que as empresas enfrentam diariamente.  Esses incidentes não só comprometem a integridade dos dados, mas também podem resultar em perdas financeiras significativas, danos à reputação e até mesmo ações legais. Além disso, a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor no Brasil em setembro de 2020, impõe obrigações rigorosas sobre como as empresas devem coletar, armazenar e processar dados pessoais.  A não conformidade com a LGPD pode resultar em multas pesadas, além de impactos negativos na confiança do consumidor. Assim, a proteção de dados e a segurança da informação se tornaram prioridades para as empresas, exigindo soluções robustas de proteção de endpoint e antivírus corporativo. A Importância da Proteção de Endpoint A proteção de endpoint refere-se à prática de pro...
Postar um comentário
Leia mais