A cibersegurança no local de trabalho tem-se tornado cada vez mais importante à medida que cada vez mais empresas avançam para recursos digitais e para a nuvem. O ransomware está no topo da lista de ameaças que podem paralisar uma organização, e estes ataques começam frequentemente com um e-mail de phishing malicioso dirigido a funcionários específicos. Basta que um funcionário seja vítima de um ataque sofisticado e a tua organização pode ficar paralisada devido ao bloqueio do acesso a ficheiros, ao roubo de dados e a ameaças persistentes avançadas escondidas na rede.

O Colonial Pipeline, que fornece gás e combustível para aviões do Texas para a Costa Leste, foi alvo de um ataque de ransomware. O ataque interrompeu a produção e forçou o encerramento da infraestrutura energética. Estes tipos de ataques têm vindo a aumentar e começam por visar um funcionário interno que não reconhece que uma mensagem é maliciosa. Muitas vezes, trata-se de uma falha na educação e sensibilização para a cibersegurança no local de trabalho.

O CryptoLocker, um dos primeiros e mais populares ataques de ransomware, começou com um e-mail de phishing. Afectou quase 500.000 computadores e levou a uma perda de dados generalizada em todo o mundo. O malware foi implantado através do envio de grandes quantidades de mensagens de correio eletrónico contendo um ficheiro ZIP anexado. Uma vez aberto, o ransomware analisava os computadores e encriptava os ficheiros para que ficassem bloqueados e não pudessem ser acedidos a menos que fosse pago um resgate. Os utilizadores devem saber que qualquer e-mail com um anexo de ficheiro ZIP deve ser considerado suspeito.

CISO: O valor de um comedor de pecados

O papel de um Chief Information Security Officer (CISO) é muito parecido com o mítico e medieval “comedor de pecados” do folclore inglês. Um comedor de pecados comia uma refeição e absorvia os pecados dos mortos. O comedor de pecados carregava então os pecados de outras pessoas para as absolver da culpa, vergonha e repercussões na vida após a morte.  

Um CISO desempenha um papel semelhante, em que os pecados dos funcionários internos afectam a reputação, o desempenho profissional e as perspectivas futuras do CISO. Se um funcionário for vítima de escândalos internos de cibersegurança, arruína a reputação da organização e faz cair os serviços de produção. Para proteger um funcionário específico do impacto negativo e das consequências, o CISO assume os pecados da infeliz vítima e responde pelo seu erro.

Pecados da cibersegurança

Embora exista apenas um CISO na organização, isso não significa que a responsabilidade recaia apenas sobre um indivíduo. A organização como um todo assume a responsabilidade. No caso da violação de dados da Equifax, os administradores de servidores e o CISO responsável pela monitorização e correção do software poderiam ser os únicos responsáveis por uma das maiores violações de dados até à data, mas a organização Equifax como um todo foi vista como irresponsável e assumiu a culpa pelas consequências.

Para além de ser responsável pela cibersegurança interna, um CISO tem uma carga de trabalho crescente à medida que mais organizações mudam para a nuvem e se tornam digitais durante o confinamento pandémico em 2020. Para se manterem produtivas, as organizações foram forçadas a permitir uma força de trabalho em casa depois de a COVID se ter espalhado globalmente. Esta mudança nos ambientes de trabalho levou a um súbito impulso para a computação em nuvem e os fluxos de trabalho digitais. O resultado foi que as empresas passaram a utilizar a nuvem com muito pouca consideração pela cibersegurança. A cibersegurança foi uma reflexão tardia e os agentes de ameaças aproveitaram ao máximo o esquecimento. O phishing e o ransomware prosperaram à medida que mais funcionários eram vítimas de campanhas sofisticadas dirigidas a indivíduos.

Os sete pecados mortais da cibersegurança no local de trabalho

A sensibilização para a cibersegurança é fundamental para evitar riscos. Se os teus funcionários não conhecerem a anatomia de um ataque de phishing, não se pode esperar que o evitem. O erro humano é um fator importante nas violações de dados, mas aqui estão sete pecados mortais e formas de evitar ser a próxima vítima:

  1. Palavras-passe fracas. A complexidade e o comprimento das palavras-passe reduzem a possibilidade de um ataque de força bruta às credenciais dos empregados. Os administradores podem definir regras para as palavras-passe que exijam um determinado comprimento e complexidade, e impedir que os utilizadores sejam reutilizados.

  2. Riscos da rede Wi-Fi pública. Os utilizadores devem estar cientes dos riscos associados ao Wi-Fi público. Quaisquer aplicações críticas devem ser utilizadas através de uma rede privada virtual (VPN) e os utilizadores nunca devem transmitir dados não encriptados.

  3. Antivírus instalado e atualizado. As organizações que oferecem uma política de “traga o seu próprio dispositivo” (BYOD) devem educar os utilizadores sobre a importância do antivírus e de o manter atualizado. Os administradores podem forçar actualizações nas estações de trabalho, mas dependem dos utilizadores para manterem os seus próprios dispositivos seguros com o software antivírus mais recente.

  4. Abrir anexos de correio eletrónico. Os administradores podem bloquear mensagens de correio eletrónico suspeitas, mas os falsos negativos dão aos agentes de ameaças a oportunidade de enganar os destinatários para que abram anexos maliciosos. Os utilizadores devem saber que não devem abrir anexos, especialmente se vierem de remetentes externos.

  5. Clica em ligações no correio eletrónico. As hiperligações maliciosas abrem sites controlados por atacantes, onde os utilizadores podem ser levados a divulgar as suas credenciais de rede ou outras informações sensíveis. Os utilizadores devem saber que não devem introduzir credenciais depois de clicarem em links. Em vez disso, digita o domínio nos seus browsers para verificar se a mensagem é legítima.

  6. Partilhar credenciais com outros utilizadores. Os utilizadores nunca devem partilhar palavras-passe. Se partilharem palavras-passe, um funcionário que já não esteja na empresa pode continuar a ter acesso a sistemas críticos, mesmo que a sua própria conta tenha sido desactivada.

  7. Não há sensibilização para a cibersegurança. Sem formação, os utilizadores não têm os recursos necessários para identificar um ataque. É da responsabilidade do CISO criar um ambiente em que a formação em cibersegurança promova uma melhor prevenção de riscos e menos erros humanos.

Ajudar os empregados a combater os ciberataques e a serem mais ciberconscientes

Se os CISOs não dedicarem tempo para educar os funcionários, deixam uma grande lacuna na armadura de segurança cibernética da empresa. A sensibilização para a cibersegurança é a primeira defesa contra ataques sofisticados que visam os erros humanos, pelo que deve ser sempre uma formação obrigatória para os funcionários que entram na empresa e para o pessoal atual.

A sensibilização pode ser oferecida de várias formas: eLearning, formação prática e políticas. Os empregados não são piratas informáticos, pelo que a informação deve ser fácil de compreender. Devem compreender as consequências de serem vítimas de um ataque e devem estar munidos de informações que lhes permitam questionar a legitimidade de um e-mail, telefonema, sítio Web e qualquer outra forma de ciberataque. Não são necessários conhecimentos técnicos completos, mas os funcionários devem estar munidos das informações corretas.  

As maiores ameaças a uma organização são o phishing e o ransomware, mas a formação reduz os riscos destas ameaças. Os funcionários munidos dos conhecimentos corretos identificarão o ataque, evitarão ser vítimas, alertarão as pessoas certas e o CISO terá um trabalho muito mais livre de stress. Sem a sensibilização para a cibersegurança, o CISO continua a responder reactivamente a ataques que podem arruinar a sua reputação e a da organização.

Conscientização sobre segurança cibernética para leigos