As pessoas são o problema com o InfoSec?
Você provavelmente já ouviu isso ao longo dos anos: os humanos são o elo mais fraco na cadeia de segurança. Inúmeros artigos culpam os humanos por clicarem em coisas em uma época em que clicamos em tudo. Agora temos essa ferramenta à nossa disposição, onde todo o sistema é construído clicando em links. Faz até parte do vocabulário cotidiano do escritório: "...vamos clicar duas vezes nisso por um momento". Claro, os humanos costumam fazer coisas idiotas de Segurança da Informação, como deixar laptops em carros destrancados, colocar suas senhas em notas adesivas no computador ou ser vítimas de um e-mail emocionalmente carregado solicitando assistência.
Errar é humano e todos nós cometemos deslizes e enganos. Mas culpar o que poderia ser seu elo mais forte e uma parte importante da defesa de uma organização também é um erro.
Os funcionários geralmente ficam frustrados com as políticas de segurança corporativa e, em geral, os empregos principais da maioria das pessoas não estão relacionados à segurança. Eles podem não entender as implicações maiores de suas ações. Políticas complexas e difíceis de cumprir só levam a soluções arriscadas em nome da produtividade. É importante elaborar políticas de segurança que funcionem a favor dos funcionários, e não contra eles.
De acordo com Gurucul , que entrevistou mais de 650 profissionais de TI na Conferência RSA de 2019, quase 75% se sentiam vulneráveis a ameaças internas. Dentro disso, o erro do usuário liderou as preocupações com 39%, seguido por informações internas maliciosas (35%) e comprometimento de conta (26%). Além disso, apenas 34% dos entrevistados sentiram que eram capazes de detectar ameaças em tempo real. E 33% estão focados em detectar ameaças internas após o incidente, em vez de prever antes que elas ocorram. Por fim, 40% não conseguirão dizer se os dados saíram do prédio.
A Critical Infrastructure Technology relata que a maioria dos incidentes de segurança cibernética (intencionais e acidentais) são resultado de alguma ação de pessoas internas. Vimos muitos incidentes ao longo dos anos em que pessoas são enganadas e clicam em um anexo ou em um link fraudulento. O phishing é especialmente comum hoje em dia e, como observa o F5 Labs, provou ser tão bem-sucedido que agora é o principal vetor de ataque. De fato, o Anti-Phishing Working Group relata que o phishing aumentou 5.753% nos últimos 12 anos. E a F5 Labs descobriu que o phishing era a causa raiz de 48% dos casos de violação que eles investigaram.
O que você pode fazer?
Bem, certamente existem tecnologias que podem ajudar a reduzir o potencial de ameaça. O Relatório de Phishing e Fraude de 2018 da F5 Labs recomenda diversas defesas, incluindo a rotulagem de e-mails de fontes externas para que os funcionários sejam alertados a proceder com cautela. Tecnologias como antivírus, filtragem da web e proteção contra fraudes, login único, autenticação multifator, bloqueio de bots e até mesmo o uso de honey tokens — contas de usuários e endereços de e-mail fictícios que podem ser monitorados para detectar quando invasores enviam e-mails de phishing generalizados. Também é essencial descriptografar e inspecionar o tráfego de entrada e saída em busca de possíveis ameaças criptografadas; 68% do malware obtém suas instruções de um servidor de comando e controle criptografado.
Tudo isso pode reduzir a superfície de ameaça, mas não elimina o potencial de uma delas passar furtivamente. As táticas de engenharia social já existem há muito tempo, bem antes da internet.
E é aí que entra o treinamento.
Os seres humanos são criaturas emocionais que se sentem confortáveis com rotinas. Se eles estão acostumados a clicar em tudo, precisarão de ajuda para reconhecer o que é seguro e o que é perigoso. Portanto, o treinamento de conscientização sobre segurança é fundamental. Pelo menos eles estarão cientes das consequências de seus cliques excessivos e estarão preparados para a astúcia dos ataques. Os usuários também devem ser incentivados a relatar quaisquer e-mails suspeitos e verificar com o departamento de TI ou Segurança antes de executar software externo ou fornecer suas credenciais de login.
O Relatório de Phishing e Fraude de 2018 do F5 Labs observa que os testes da Webroot mostraram que quanto mais treinamento de conscientização de segurança é realizado, melhor os funcionários são em identificar e evitar riscos. Aqueles que realizaram de 1 a 5 campanhas de treinamento tiveram uma queda de 33% na taxa de cliques de phishing; aqueles que realizaram de 6 a 10 campanhas tiveram a taxa de cliques reduzida para 28%; e aqueles que realizaram 11 ou mais campanhas de treinamento reduziram a taxa para 13%. Além disso, descobriu-se que simulações e campanhas de phishing são mais eficazes quando o conteúdo é atual e relevante. Isso significa que as empresas que não realizam treinamento de conscientização de segurança podem esperar que os usuários cliquem em pelo menos 1 em cada 3 tentativas de phishing. O treinamento é sempre mais barato do que uma violação.
Em termos de treinamento, a F5 Labs sugere que ele seja breve, relevante, pessoal e solucionável. Trate a segurança como um problema administrável, mas somente com a participação ativa e informada de todos os envolvidos. O treinamento de conscientização sobre segurança é a melhor oportunidade de falar diretamente com todos os usuários e incentivá-los a participar de uma causa compartilhada.
Aqui vai uma dica divertida que você pode experimentar com seus amigos. Diga: 'Sou um especialista em cibersegurança e se você me disser sua senha, posso dizer se ela é segura.' Veja quantos lhe darão uma resposta!