A cibersegurança no local de trabalho tem-se tornado cada vez mais importante à medida que cada vez mais empresas avançam para recursos digitais e para a nuvem. O ransomware está no topo da lista de ameaças que podem paralisar uma organização, e estes ataques começam frequentemente com um e-mail de phishing malicioso dirigido a funcionários específicos. Basta que um empregado seja vítima de um ataque sofisticado e a sua organização pode ficar paralisada devido ao bloqueio do acesso a ficheiros, ao roubo de dados e a ameaças persistentes avançadas escondidas na rede.
O Colonial Pipeline, que assegura o transporte de gás e combustível para aviões do Texas para a Costa Leste, foi alvo de um ataque de ransomware. O ataque interrompeu a produção e forçou o encerramento da infraestrutura energética. Estes tipos de ataques só têm vindo a aumentar e começam por visar um funcionário interno que não reconhece que uma mensagem é maliciosa. Trata-se frequentemente de uma falha na educação e sensibilização para a cibersegurança no local de trabalho.
CryptoLocker, um dos primeiros e mais populares ataques de resgates, começou com um e-mail de phishing. Afectou quase 500.000 computadores e levou a uma perda de dados generalizada em todo o mundo. O malware foi implementado através do envio de enormes quantidades de mensagens de correio electrónico contendo um ficheiro ZIP anexo. Uma vez aberto, o software de resgate digitalizou computadores e ficheiros encriptados de modo a que ficassem bloqueados e não pudessem ser acedidos a menos que fosse pago um resgate. Os utilizadores devem saber que qualquer correio electrónico com um ficheiro ZIP anexo deve ser tratado como suspeito.
CISO: O Valor de um Comedor de Pecados
O papel de um Chefe de Segurança da Informação (CISO) é muito semelhante ao mítico e medieval "comedor de pecados" do folclore inglês. Um comedor de pecados comeria uma refeição e absorveria os pecados dos mortos. O comedor de pecados transportaria então os pecados de outras pessoas para absolvê-las da culpa, vergonha e repercussões na vida após a morte.
Uma CISO desempenha um papel semelhante quando os pecados dos funcionários internos afectam a reputação da CISO, o seu desempenho profissional e as suas perspectivas futuras. Caso um empregado seja vítima de escândalos internos de cibersegurança, estes arruínam a reputação da organização e derrubam os serviços de produção. Para proteger um empregado específico do impacto e consequências negativas, a CISO assume os pecados da vítima infeliz e responde pelo seu erro.
Embora apenas uma CISO esteja presente na organização, não significa que a responsabilidade seja apenas de um indivíduo. A organização como um todo assume a responsabilidade. No caso da violação de dados Equifax, os administradores do servidor e a CISO responsável pela monitorização e reparação de software poderiam ser os únicos responsáveis por uma das maiores violações de dados até à data, mas a organização Equifax como um todo foi vista como irresponsável e assumiu a responsabilidade pelas consequências.
Para além de ser responsável pela cibersegurança interna, uma CISO tem uma carga de trabalho crescente à medida que mais organizações se deslocam para a nuvem e se tornam digitais durante os lockdowns pandémicos em 2020. Para se manterem produtivas, as organizações foram forçadas a permitir uma força de trabalho em casa após a propagação global da COVID. Esta mudança nos ambientes de trabalho levou a um súbito empurrão para a computação na nuvem e para os fluxos de trabalho digitais. O resultado foi que as empresas estavam agora na nuvem com muito pouca consideração pela segurança cibernética. A segurança cibernética foi um pensamento posterior, e os actores da ameaça tiraram o máximo partido da supervisão. O phishing e o resgate de software prosperaram à medida que mais empregados foram vítimas de campanhas sofisticadas que visavam indivíduos.
Os Sete Pecados Mortais da Ciber-Segurança no Local de Trabalho
A consciência da cibersegurança é fundamental para evitar o risco. Se os seus empregados não conhecem a anatomia de um ataque de phishing, não se pode esperar que o evitem. O erro humano é um factor importante nas violações de dados, mas aqui estão sete pecados mortais e formas de evitar ser a próxima vítima:
- Pobres palavras-passe. A complexidade e comprimento da palavra-passe reduzem a hipótese de um ataque de força bruta às credenciais dos empregados. Os administradores podem estabelecer regras de senhas que requerem um certo comprimento, complexidade, e impedem os utilizadores de serem reutilizados.
- Riscos Wi-Fi públicos. Os utilizadores devem estar cientes dos riscos associados à rede pública Wi-Fi. Quaisquer aplicações críticas devem ser utilizadas através de uma Rede Privada Virtual (VPN), e os utilizadores nunca devem transmitir dados não encriptados.
- Antivírus instalado e actualizado. As organizações que oferecem uma política de "bring-your-own-device" (BYOD) devem educar os utilizadores sobre a importância do antivírus e mantê-lo actualizado. Os administradores podem forçar actualizações nas estações de trabalho, mas dependem dos utilizadores para manter os seus próprios dispositivos seguros com o mais recente software antivírus.
- Abertura de anexos de e-mail. Os administradores podem bloquear mensagens de correio electrónico suspeitas, mas os falsos negativos dão aos actores da ameaça a oportunidade de enganar os destinatários para que estes abram anexos maliciosos. Os utilizadores devem saber que não devem abrir anexos, especialmente se estes provêm de remetentes externos.
- Clicando em links no e-mail. As ligações maliciosas abrem sítios controlados por atacantes, onde os utilizadores podem ser enganados para divulgar as suas credenciais de rede ou outras informações sensíveis. Os utilizadores devem saber que não devem introduzir as suas credenciais após clicarem nas ligações. Em vez disso, digitar o domínio nos seus navegadores para verificar se a mensagem é legítima.
- Partilha de credenciais com outros utilizadores. Os utilizadores nunca devem partilhar palavras-passe. Se partilharem senhas, um funcionário que já não esteja na empresa poderá ter acesso a sistemas críticos, mesmo que a sua própria conta tenha sido desactivada.
- Nenhuma consciência de segurança cibernética. Sem educação, os utilizadores não têm os recursos necessários para identificar um ataque. É da responsabilidade da CISO criar um ambiente onde a educação em segurança cibernética promova uma melhor prevenção de riscos e menos erros humanos.
Ajudar os funcionários a combater os ataques cibernéticos e a ser mais cibernéticos
Se os CISOs não se dispuserem a educar os empregados, deixam uma grande brecha na armadura de segurança cibernética da empresa. A consciência da cibersegurança é a primeira defesa contra ataques sofisticados que visam os erros humanos, pelo que deve ser sempre exigida formação aos empregados e ao pessoal actual da empresa.
A sensibilização pode ser oferecida de várias formas: eLearning, formação prática, e políticas. Os empregados não são hackers, pelo que a informação deve ser fácil de compreender. Devem compreender as consequências de serem vítimas de um ataque, e os empregados devem estar armados com informações que lhes permitam questionar a legitimidade de um e-mail, chamada telefónica, website, e qualquer outra forma de ciberataque. Não precisam de conhecimentos técnicos completos, mas os empregados devem estar armados com a informação certa.
As maiores ameaças a uma organização são o phishing e o resgate, mas a formação reduz os riscos destas ameaças. Os funcionários armados com os conhecimentos certos identificarão o ataque, evitarão ser vítimas, alertarão as pessoas certas, e uma CISO terá um trabalho muito mais livre de stress. Sem consciência da cibersegurança, a CISO continua a responder reactivamente a ataques que poderiam arruinar a CISO e a reputação da organização.