O “homem na máquina” é uma consideração fundamental quando se cria uma estratégia eficaz para minimizar o risco de cibersegurança. No entanto, há muitos aspectos nesta afirmação, uma vez que os nossos funcionários são uma parte vital do sucesso da nossa organização; em vez de atribuir culpas, temos de separar o malicioso do acidental, detectando o primeiro e prevenindo o segundo.

Através de uma formação específica de sensibilização para a segurança, os factores humanos que conduzem a falhas humanas podem ser atenuados. Eis como e porque é que o risco de segurança cibernética pode ser gerido através de uma sensibilização para a segurança.

Porque é que os factores humanos conduzem ao risco da cibersegurança

O fator humano no risco da cibersegurança é normalmente designado por “ameaça interna”. O “insider” assume a forma de funcionários e não funcionários, como consultores. O simples facto de os infiltrados fazerem parte integrante dos processos de uma organização e utilizarem os recursos de TI com autorização dificulta a resolução das falhas humanas que conduzem ao risco de cibersegurança.

O risco de cibersegurança relacionado com os infiltrados é um problema grave: um Relatório de Ameaças Internas de 2020 da Cyber Security Insiders indica que 68% das organizações se sentem “moderada a extremamente vulneráveis” a ameaças internas. Isto não é surpreendente quando olhamos para algumas das notícias de última hora sobre ataques cibernéticos do ano passado, como o hack do Twitter de 2020, em que contas de alto nível do Twitter, incluindo a de Barack Obama, foram acedidas e utilizadas para enganar os utilizadores do Twitter e levá-los a efetuar transacções ilícitas de bitcoin. As perdas estão estimadas em cerca de 180 milhões de dólares (129 milhões de libras) e 4% do preço das acções do Twitter foi anulado. A pirataria envolveu o spear-phishing de funcionários do Twitter e o roubo de credenciais privilegiadas.

Os factores humanos são utilizados pelos cibercriminosos para efetuar acessos não autorizados, roubar credenciais e infetar sistemas informáticos e pontos terminais com malware, como o ransomware. Sem o efeito humano na máquina, a cibercriminalidade seria muito mais difícil.

Os factores humanos que conduzem às falhas humanas

De acordo com um estudo da IBM, as três principais áreas a ter em atenção ao criar estratégias de segurança para mitigar os riscos de cibersegurança são

  1. Phishing

  2. Analisa e explora

  3. Utilização não autorizada de credenciais

Todos os três vectores têm um elemento que envolve um fator humano em algum ponto da cadeia de ataque.

Phishing e Spear-phishing – factores humanos: Requer que um alvo humano clique numa ligação ou abra um anexo infetado para iniciar a cadeia de infeção. Muitas vezes, o phishing é utilizado para atingir utilizadores privilegiados (spear phishing) para recolher as suas credenciais. Os utilizadores privilegiados têm acesso a recursos mais importantes – o roubo de credenciais privilegiadas é o cálice de ouro da pirataria informática. Aqui, entra em jogo um fator humano, como a resposta automática ao clique.

Scan and Exploit – falha humana: os piratas informáticos utilizam tudo o que facilita a vida e a capacidade de procurar automaticamente vulnerabilidades é um vetor útil para a infeção por malware. Os componentes do sistema de TI, como os servidores Web, as bases de dados e as aplicações na nuvem, podem acabar por ser mal configurados se o impacto de uma segurança deficiente não for totalmente compreendido. As aplicações inseguras e os componentes Web resultam em falhas de segurança que os piratas informáticos podem explorar. Neste caso, a falha humana conduz ao risco de cibersegurança.

Utilização não autorizada de credenciais – falha humana e factores humanos: o roubo de credenciais conduz ao acesso não autorizado a sistemas e recursos informáticos. As formas como as credenciais podem ser utilizadas sem autorização incluem:

  • Shoulder surfing: as credenciais são roubadas quando uma pessoa mal-intencionada observa alguém a introduzir uma palavra-passe.

  • Phishing: enganar uma pessoa para que introduza as credenciais de início de sessão numa página de início de sessão falsa.

  • Engenharia social: enganar uma pessoa para que entregue uma credencial de início de sessão através do telefone, das redes sociais ou de outros métodos de comunicação, como e-mails, help desks e mensagens de texto.

Em todos os três vectores de pirataria informática mais bem sucedidos, tanto o fator humano como o fracasso humano são importantes. O risco de cibersegurança está concentrado nos nossos empregados e não empregados, mas como podemos reduzir esse risco?

Melhores práticas para evitar que os factores humanos se transformem em falhas humanas?

Um estudo da Kaspersky, que se centrou no papel que os factores humanos desempenham no risco de cibersegurança, concluiu que o “pessoal descuidado ou desinformado” é a segunda causa mais provável de uma violação grave da segurança; a infeção por malware é a primeira, mas é frequentemente causada por pessoal descuidado ou desinformado. Com elevados níveis de risco associados aos factores humanos, a redução das falhas é vital para mitigar o risco de segurança.

Destacam-se duas áreas que abrangem tanto o pessoal descuidado como o desinformado:

Decisões descuidadas que conduzem a falhas de segurança: fazer más escolhas de segurança, como configurar incorretamente os sistemas e componentes de TI ou clicar numa ligação de phishing antes de pensar, são falhas humanas que conduzem a um maior risco de cibersegurança. A má configuração dos sistemas e componentes de TI é um exemplo de uma decisão de segurança descuidada. Clicar numa ligação de phishing é outro exemplo. Tanto o pessoal informático como o pessoal não informático são capazes de tomar decisões descuidadas que conduzem a falhas de segurança. Assegurar que todo o pessoal, tanto técnico como não técnico, está consciente do impacto das suas escolhas é uma forma fundamental de reduzir o risco de cibersegurança.

Pessoal desinformado que conduz a falhas de segurança: se o pessoal não está consciente das suas acções, como pode saber as consequências para a segurança? As empresas dão regularmente formação ao pessoal noutras áreas da empresa e isso deve ser alargado à formação de sensibilização para a segurança. A formação do pessoal em segurança inclui a compreensão do funcionamento do phishing, bem como de outras falhas de segurança comuns, como a partilha de palavras-passe e a entrega incorrecta de e-mails. De acordo com o Verizon Data Breach Investigation Report (DBIR), a entrega incorrecta continua a aumentar como forma de erro humano.

Atenuar o fator humano no risco da cibersegurança

O estudo da Kaspersky identificou um elemento crucial da falha humana na segurança – a vontade de esconder os erros. O inquérito revelou que, em 40% das empresas, os funcionários ocultaram incidentes de segurança. Este número deveria fazer soar o alarme e obrigar as pessoas a intensificar a sua formação em segurança. Mesmo que o funcionário tenha compreendido as implicações de um evento de segurança, sentiu-se compelido a esconder a informação. Isto leva-nos a perguntar porquê, com uma resposta em duas partes:

Faz da segurança uma cultura: pode parecer um cliché, mas se a noção de segurança estiver incorporada na cultura da empresa, é menos provável que os funcionários fiquem sobrecarregados e receosos quando algo acontece. Cria uma cultura de segurança utilizando a Formação de Sensibilização para a Segurança para ajudar a formar hábitos de segurança positivos nos funcionários.

Facilita a comunicação de um incidente de segurança: os incidentes têm de ser comunicados, para que possam ser tratados pelo pessoal especializado adequado, de acordo com o nível de risco. Um sistema de comunicação, concebido para tornar a comunicação muito fácil para os empregados, irá facilitar a comunicação de incidentes e torná-la mais provável.

Os factores humanos conduzem a falhas humanas. Através da formação de sensibilização para a cibersegurança, as organizações podem abordar os comportamentos humanos que causam erros descuidados e más decisões, reduzindo assim o risco de cibersegurança.

risco de cibersegurança