PorNormalmente, acredita-se que os ataques cibernéticos mais sofisticados e complexos são a maior ameaça a um negócio.
Na realidade, no entanto, a maior ameaça à segurança cibernética de muitas empresas são seus próprios funcionários. Na verdade, quatro das cinco principais causas de violações de dados estão relacionadas a erros humanos ou de processo. Isso inclui perda ou roubo de documentos, dados enviados por e-mail para o destinatário errado e páginas da web inseguras.
Em um cenário digital em constante mudança, em que os ataques cibernéticos estão se tornando cada vez mais sofisticados, acompanhar os métodos usados pelos cibercriminosos e garantir que os funcionários estejam cientes dos perigos se tornaram desafios significativos.
Listamos três dicas de treinamento em segurança virtual para empresas que desejam manter os funcionários atualizados e, por sua vez, manter as informações comerciais protegidas.
Atualizar políticas e procedimentos de segurança virtual e educar funcionários
Os funcionários que não estão cientes de suas obrigações de segurança virtual têm maior probabilidade de ignorar políticas e procedimentos relevantes, o que pode levar a divulgações não intencionais de dados ou a ataques cibernéticos bem-sucedidos.
A questão fundamental aqui é que políticas e procedimentos nunca são ativamente ensinados, mostrados ou fornecidos no contexto. Em vez de mostrar como essas políticas e procedimentos protegem os negócios em um cenário da vida real, os funcionários são entregues ao manual de segurança cibernética ou à planilha da empresa e solicitados a lembrá-lo, muitas vezes ao lado das demais políticas da empresa (horário de trabalho, protocolo de férias, dress-code, benefícios, etc.) durante a indução. As políticas e procedimentos muitas vezes podem ser complexos e confusos, podem não ter sido atualizados adequadamente e podem ser difíceis de aplicar.
Levando isso em consideração, as empresas precisam revisar cuidadosamente suas políticas e procedimentos de segurança cibernética para garantir que não sejam apenas fáceis de entender e aplicar, mas também atualizadas. Por exemplo, se existe uma cultura de BYOD dentro da organização e as políticas de segurança cibernética não foram atualizadas para levar isso em conta, as falhas de segurança são inevitáveis.
Da mesma forma, se essas políticas não tiverem informações para governar como os dispositivos de negócios são usados, ou seja, se os dispositivos forem especificamente apenas para negócios, os funcionários os usarão naturalmente para atividades pessoais e possivelmente exporão informações comerciais cruciais aos cibercriminosos.
A última coisa que as empresas precisam fazer para garantir que os funcionários cuidem do zero é executar cursos regulares de treinamento em segurança cibernética. Mostre aos funcionários como essas políticas e procedimentos funcionam para proteger os negócios e convencer os funcionários seniores a patrocinar e enfatizá-los aos funcionários. Isso garantirá que uma cultura de segurança cibernética seja desenvolvida em todos os níveis do negócio.
Sublinhe a importância do gerenciamento de senhas
De acordo com um estudo realizado pela OneLogin em 2017, menos de um terço (31%) dos decisores de TI exigem que os funcionários façam rodízio de senhas mensalmente. Outro relatório da OpenVPN revelou que 25% dos funcionários admitem que usam a mesma senha para cada sistema corporativo que acessam.
Evidentemente, o gerenciamento de senhas é uma questão importante e um desafio para as empresas quando se trata de segurança cibernética. Com os funcionários desconsiderando o gerenciamento básico de senhas e os tomadores de decisões de TI deixando de lembrar esses funcionários, é necessário que haja uma drástica mudança de atitude se as empresas quiserem melhorar as práticas de segurança cibernética.
As empresas precisam adotar uma abordagem mais positiva no processo de gerenciamento de senhas. Eles não apenas devem implementar ferramentas mais avançadas de gerenciamento de senhas – autenticação multifator ou até mesmo autenticação PKI -, mas devem também recompensar os funcionários que seguem os procedimentos de senha descritos em suas políticas de segurança cibernética.
Ao mesmo tempo, os funcionários também precisam perceber sua responsabilidade no processo – e isso começa com os executivos seniores e os executivos de nível superior ensinando a importância disso para o restante dos funcionários. Em todas as etapas, eles devem se sentar com os funcionários e explicar os benefícios comerciais da segurança abrangente das senhas, de uma maneira que esses funcionários possam entender. Fornecer exemplos do mundo real, como roubo de identidade e roubo de dados, por exemplo, pode ajudar a colocar os funcionários a bordo.
Ajude os funcionários a entender o phishing
O phishing está em ascensão e os cibercriminosos estão ficando cada vez melhores nisso. Recentemente, mais de 2.500 reclamações foram feitas sobre e-mails falsos de licenças de TV, enquanto uma universidade dos Estados Unidos foi violada depois que dois estudantes caíram em uma tentativa de phishing.
Os cibercriminosos reconheceram a futilidade de visar outros vetores de ataque devido à sofisticação das soluções atuais. Em vez de atacar software, os criminosos cibernéticos perseguem os indivíduos e os endpoints de destino – como celulares e laptops – para obter acesso à rede mais ampla de uma empresa.
O desafio é educar os funcionários em phishing para que eles possam identificar um e-mail de phishing, principalmente se estiverem usando um dispositivo endpoint, como um telefone celular ou laptop, e continuar relatando-o.
Com base nisso, os departamentos de TI devem executar os funcionários por meio do básico de identificar um e-mail de phishing; algumas das coisas a procurar são:
Endereço de e-mail
Os cibercriminosos têm métodos para disfarçar e-mails falsos e saber enganar as vítimas, fazendo-as acreditar que o remetente é legítimo. As empresas devem ter um processo ou solução para destacar remetentes desconhecidos e bloquear correspondência de e-mail fraudulenta conhecida. Se os funcionários detectarem um endereço de e-mail não autorizado, eles deverão sinalizá-lo com o departamento de TI antes de prosseguir.
Saudações no e-mail
E-mails de phishing são geralmente automatizados e não têm saudações pessoais. Esses e-mails têm termos genéricos como “cliente”, “funcionário” ou “querido senhor / senhora” sem reconhecimento do nome do destinatário. Os funcionários devem ser cautelosos com esses e-mails, especialmente se estiverem solicitando informações pessoais.
Gramática e ortografia
Esses e-mails geralmente incluem problemas gramaticais. Se um e-mail for proveniente de uma marca ou empresa supostamente respeitável, mas incluir erros ortográficos e gramaticais, provavelmente será uma fraude.
Link de destino
Antes de clicar em links em e-mails, os funcionários devem passar por cima deles para verificar o destino do link. Se o URL do website parecer suspeito, for diferente da suposta marca / empresa do remetente, os funcionários devem ser cautelosos e verificar on-line ou sinalizá-lo.
Apelos à ação
Os e-mails que exigem ação ou resposta imediatas (e apresentam várias das questões mencionadas acima) são provavelmente os golpes. Esses e-mails são projetados de forma a assustar as pessoas a agir e / ou desistir de informações confidenciais.
Imagens e logotipos
Não confie em imagens e logotipos. Eles podem ser facilmente baixados e replicados. Os cibercriminosos podem inserir qualquer tipo de conteúdo visual em e-mails para persuadir as vítimas de que seus e-mails são legítimos.
Fazer com que os funcionários analisem todos os itens acima ajudará as empresas a manter funcionários e dados seguros e protegidos. Uma boa regra é se não tiver certeza da legitimidade de um e-mail – marque-o.
Treinamento regular em segurança cibernética e revisão de políticas e procedimentos ajudarão a construir uma cultura de segurança cibernética dentro de um negócio. À medida que os funcionários percebem a importância disso, eles seguem o processo em tudo que fazem – e acabam ensinando aos novos funcionários.
