Estudo após estudo mostra que o humano na máquina aumenta o risco de segurança cibernética. Pesquisas da Universidade de Stanford e Tessian confirmam isto, descobrindo que 88% das violações de dados são causadas por erros de empregados. Mas, mesmo sem provas estatísticas, as organizações têm provas anedóticas de que o factor humano está por detrás de muitas violações de dados e outros incidentes de segurança. Para desarrolhar violações de dados, é necessário desarrolhar empregados e não-empregados.
Aqui está um guia sobre o tipo de riscos que os humanos acrescentam a uma organização e algumas ideias de como reduzir o risco humano.
Errar é Humano
A definição do significado de "erro humano" é importante para se saber como minimizar o risco de um erro de segurança relacionado com o ser humano.
O erro humano pode ser amplamente categorizado em duas áreas:
Superintendência
Erros e erros acontecem, e quando acontecem, a ameaça a uma organização aumenta. Um exemplo típico de supervisão é um funcionário que envia acidentalmente um e-mail com informações sensíveis à pessoa errada, também conhecido como incorrectamente entregue de um e-mail.
Outro exemplo de um esquecimento é a má configuração de uma componente de nuvem, tal como uma base de dados. Ainda outro, é pensar que não há problema em partilhar uma palavra-passe com um colega. A supervisão abrange a área geral do tratamento incorrecto de dados sensíveis por parte dos empregados, o que pode levar ao não cumprimento, multas e perda de confiança dos clientes.
Engano
Os esquemas de engenharia social aumentam o risco humano numa organização. Os esquemas de engenharia social, tais como e-mails de phishing contendo anexos ou ligações maliciosas, podem aumentar o risco humano numa organização.
Outro exemplo de um empregado a ser enganado por um actor malicioso é o Business Email Compromise (BEC), um esquema em que um criminoso cibernético engana os empregados para que estes paguem facturas fraudulentas. Quer um empregado seja enganado ou cause involuntariamente um erro, o resultado pode ser catastrófico. A unidade de crimes na Internet do FBI, IC3, reportou o crime BEC, por exemplo, tendo descoberto que as perdas devidas ao BEC em 2020 ascenderam a 1,8 mil milhões de dólares.
5 Hacks humanos que podem ajudar a minimizar o risco humano
Os factores de risco relacionados com o homem podem ser mitigados através da aplicação de cinco hacks humanos que reduzem o risco de segurança cibernética:
1) Quebre o Ciclo do Clique
A interface do utilizador (IU) e a experiência do utilizador (UX) são concebidas para tornar a utilização de um computador tão fácil quanto possível. O cálice dourado é a experiência de "um clique" e, sempre que possível, os designers de IU trabalham diligentemente para atingir este objectivo.
Infelizmente, isto significa que os empregados e outros utilizadores acabam por não pensar antes de clicar, à medida que o seu condicionamento UI/UX faz efeito. MetaCompliance explorou recentemente a questão da resposta automática ao clique noutro post "Phishing Attacks ":Why Don't We Think Before We Click", no qual recomendamos a utilização de testes de phishing controlados para alterar o comportamento de clique dos funcionários.
2) Construir uma cultura de segurança
O risco cibernético é um assunto de todos. Ao construir uma cultura de segurança cibernética, deve focalizar-se fortemente nas áreas que aumentam o risco num negócio ou num processo, estando ciente de que pode haver diferentes ou diferentes níveis de risco, dependendo do departamento ou mesmo do funcionário. Os exercícios de construção de uma cultura de cibersegurança precisam de reflectir as necessidades granulares de uma empresa, e ao criar uma cultura de consciência de segurança cibernética, pode ajudar a eliminar o risco através do conhecimento.
3) Apoiar melhores decisões
Muitos erros humanos que levam a um aumento do risco cibernético são simplesmente um mau julgamento. O erro humano cobre uma vasta gama de questões que levam à exposição de dados e a outros incidentes de segurança. Por vezes, trata-se simplesmente de um caso de não ter a informação à mão para tomar uma boa decisão. E, por vezes, trata-se de criar estruturas, para que a decisão errada não possa ser tomada. A higiene de segurança é um caso em questão.
A investigação da Yubico descobriu que 69% dos empregados partilham palavras-passe para facilitar o acesso à conta. Para desarmar o factor humano no trabalho, ensinar ao pessoal sobre a importância de não partilhar palavras-passe, e apoiar isto através da imposição do uso da autenticação de segundo factor (2FA) a quaisquer aplicações que suportem o 2FA.
4) Higiene cibernética para desarrolhar o erro humano
Ensinar os empregados sobre ciber-higiene acrescenta peso às questões de higiene de segurança mencionadas acima. A ciber-higiene cobre uma série de áreas e inclui uma política de secretária limpa que é aplicável. As melhores práticas de ciber-higiene irão minimizar os riscos de segurança em linha e manter os sistemas informáticos saudáveis. Também ajudará na conformidade com normas de segurança como a ISO27001.
A prática da ciber-higiene estende-se dos empregados a uma atenção geral aos cuidados de saúde do sistema informático; isto inclui a utilização de ferramentas apropriadas para monitorizar potenciais ameaças, assegurar que os certificados digitais sejam actualizados, que os patches sejam rapidamente implementados, e assim por diante. A boa prática da ciber-higiene implica assegurar que qualquer erro humano na configuração dos sistemas ou nos processos empresariais, seja apanhado antes de ser explorado.
5) Faça as pessoas parte da sua abordagem estratificada da segurança
Os empregados são frequentemente a fonte de um aumento do risco cibernético, mas são também onde uma organização pode des-riscar o factor humano. Ao assegurar que empregados e não empregados façam parte de uma abordagem em camadas da ciber-segurança, a sua empresa pode assegurar uma desrisificação holística das "pessoas, processos e tecnologia".
Ao envolver todo o pessoal em formação, desde o CEO até ao mais recente nomeado, cobre todas as lacunas onde os dados podem vazar, ou onde podem ocorrer contratempos de segurança.
Reduzir o risco de nascimento humano
Os empregados são apenas humanos, e os seres humanos cometem erros ou podem ser engendrados socialmente por cibercriminosos. Empregados conhecedores e empenhados podem ajudar a superar o risco humano numa organização. Uma estratégia clara de segurança que abranja pessoas, processos e tecnologia, desresponsabilizará o factor humano em qualquer organização. Esta estratégia deve empregar programas de formação em segurança para ajudar a construir uma cultura de segurança que permita ao seu pessoal ser a sua primeira linha de defesa contra erros e manipulações.