Erros humanos e o comprometimento da cibersegurança das empresas

A frase “Errar é humano” pode até parecer um pouco batida, mas em se tratando de cibersegurança e proteção de dados, ela é justa ao avaliar que erros humanos acontecem com maior frequência do que deveriam e colocam em perigo informações muitas vezes importantíssimas. 

Uma prova clara da alta potência de estrago dessas falhas e descuidos que expõe dados sigilosos, inclusive de empresas, está em um estudo da IBM, gigante do setor de Tecnologia da Informação, que aponta que o erro humano é o agente causador de 95% das violações de segurança cibernética. 

Ou seja, se o erro humano for eliminado totalmente dessa conta, 19 das 20 violações cibernéticas contabilizadas no mundo não teriam ocorrido.

E como “prevenir é melhor do que remediar”, veja algumas ações indispensáveis para evitar que a falta de conhecimento, o descuido e a pressa dos seus colaboradores causem o vazamento de dados e informações desprotegidas.

Quais os tipos de erro humano em segurança cibernética?

O avanço tecnológico, visto a passos largos nos ambientes de trabalho, pede profissionais inseridos na relação com as máquinas.

Esses trabalhadores, no entanto, precisam entender não apenas dos benefícios oferecidos pelo uso diário dos computadores e da internet na realização de demandas e tarefas, mas também do perigo que a imprudência nessas operações causam. 

Dentro do contexto de segurança, de modo geral o erro humano significa ações não intencionais ou falta de ação de uma pessoa que permite que uma violação de segurança ocorra.

Em relação à segurança digital, há uma vasta gama de ações erradas, que acontecem por alguns motivos, como:

• Falta de treinamento adequado sobre práticas de cibersegurança;
• Sobrecarga de trabalho, levando à distração ou à pressa, o que aumenta o risco de cometer erros;
• Falta de políticas de segurança claras ou mal comunicadas;
• Desatenção ou complacência com as ameaças cibernéticas, especialmente quando os colaboradores não percebem o quão prejudiciais são certas ações;
• Fatores psicológicos, como estresse ou fadiga, que reduzem a atenção aos detalhes e à segurança.

Veja a seguir os erros humanos em cibersegurança mais comuns nas empresas e que podem causar consequências:

Clicar em links maliciosos e fazer downloads infectados

A partir da técnica de ataque cibernético chamada phishing, no qual o invasor tenta enganar as pessoas para que elas compartilhem informações confidenciais, os funcionários das empresas podem ser induzidos ao erro por meio de e-mails fraudulentos que aparentam ser de fontes confiáveis.

Ao ser levado a clicar em links maliciosos, abrir anexos infectados com malware ou inserir credenciais de entrada, o indivíduo autoriza acesso a senhas e outros dados privilegiados. 

Criar senhas fracas

A criação de senhas óbvias, simples e de baixíssima dificuldade, como números ou letras em sequências (“123456” ou “abcdefg”), ou mesmo a repetição do nome que está no login, são formas comuns de erro humano no meio digital. 

Outro tipo de senha fraca são aquelas que são utilizadas repetidas vezes pelo mesmo usuário em diferentes plataformas, o que pode expor as contas a ataques cibernéticos, como o ataque de força bruta ou o credential stuffing.

Compartilhar informações sensíveis

Colaboradores podem acidentalmente compartilhar informações confidenciais com pessoas não autorizadas, seja por e-mail, mensagem ou até mesmo em plataformas de comunicação não seguras.

Para que essas informações confidenciais e que dão acesso a áreas restritas não vazem, é fundamental um processo interno de conscientização sobre segurança digital.

Utilizar softwares desatualizados

A negligência em aplicar atualizações de segurança e patches a sistemas operacionais, aplicativos e dispositivos deixam a empresa vulnerável a ataques cibernéticos, como explorações de vulnerabilidades conhecidas.

Acesso não autorizado por dispositivos pessoais

Uma regra que tem tomado as corporações atualmente, especialmente em empresas com funcionários em home-office, é a BYOD (Bring Your Own Device, em português “Traga seu próprio dispositivo”).

Nesses casos, os funcionários usam seus próprios computadores, notebooks e smartphones para realizar as demandas, em todos os momentos ou somente em algumas ocasiões. 

Porém, sem as devidas medidas de segurança, como criptografia e autenticação, esses dispositivos podem ser comprometidos e permitir acesso não autorizado a dados corporativos.

Descuido com dispositivos físicos

O esquecimento de dispositivos como laptops, pen drives ou smartphones em locais públicos sem supervisão, como: mesas de café, aeroportos ou salas de reuniões, surge como um dos erros humanos mais graves em relação à segurança digital. 

Desconsideração de políticas de segurança

A não utilização de VPNs, a alteração de configurações de segurança em dispositivos ou a desativação de firewalls são erros rotineiros e que comprometem o uso de dados sensíveis. 

Má configuração de redes e servidores

A administração inadequada de redes ou servidores é considerada um erro humano porque envolve decisões, omissões ou configurações incorretas do profissional, criando brechas de segurança que podem ser exploradas por agentes mal-intencionados.

Como prevenir erros humanos em segurança digital? 

A conscientização e a adoção de boas práticas de segurança são essenciais para minimizar os riscos decorrentes de erros humanos em ambientes corporativos.

Abaixo, estão algumas estratégias práticas que devem estar presentes nas empresas:

• Treinamentos regulares com todos os colaboradores sobre segurança cibernética, além do desenvolvimento de um plano de resposta a incidentes cibernéticos;
• Programas de conscientização sobre os perigos de senhas fracas, links suspeitos e práticas inseguras em dispositivos pessoais;
• Políticas de segurança documentadas que estabelecem que todos os colaboradores tenham acesso a elas e entendam os processos, e que sejam regularmente adaptadas a novas ameaças;
• Regras sobre o uso de dispositivos pessoais e o acesso remoto, com informações sobre como deve ser o acesso a redes e equipamentos fora do ambiente corporativo;
• Autenticação multifatorial para sistemas e dados sensíveis, o que dificulta o acesso não autorizado;
• Métodos de autenticação (tokens, aplicativos e biometria) que asseguram uma camada extra de proteção;
• Sistemas de prevenção e ferramentas de monitoramento contra invasões, antivírus e firewalls inteligentes;
• Cultura organizacional de segurança que incentive a prática e a valorização da proteção cibernética no dia a dia, inclusive com o envolvimento de líderes e gestores;
• Ferramentas e processos de segurança que sejam intuitivos e fáceis de usar, evitando que sejam buscadas alternativas não seguras;
• Controle de acesso rigoroso baseado em princípios de necessidade, com permissão de acesso apenas aos dados essenciais para o trabalho;
• Auditorias e avaliações de segurança para identificar áreas de melhoria e manter a equipe alinhada com as melhores práticas.

A Symbioti é a solução para sua empresa

A proteção de dados depende de práticas sólidas e atualizadas, e empresas de todos os tipos e tamanhos precisam estar em conformidade com condutas que garantam a privacidade e a integridade de dados em ambientes corporativos. 

Com um time de especialistas, a Symbioti oferece soluções sob medida para a sua organização, identificando vulnerabilidades e oferecendo acompanhamento contínuo para manter a segurança cibernética. 

Entre em contato e saiba mais.