A segurança da informação tem se tornado cada vez mais peça fundamental para organizações. Atualmente é comum o investimento em uma infraestrutura de segurança em camadas, com sistemas de proteção de perímetro, monitoramento do ambiente, criptografia, entre outros. A impressão é de que há camadas de proteção suficientes para proteger toda a superfície de ataque, mas há um risco muito maior que precisa ser mitigado: o usuário.
Uma boa parte das violações de dados ainda se deve a erros básicos dos usuários, seja por ignorância, inocência ou negligência. Para evitar esse tipo de problema, é comum o investimento em treinamentos para propagar boas práticas, mas eles nem sempre são suficientes.
Quando falamos em erros humanos, não falamos apenas do usuário comum que abre um e-mail infectado porque estava distraído, mas também de erros relacionados à própria gestão dos sistemas, como falhas de configuração e má gestão de patches. Entre os erros cometidos pelo próprio usuário estão ainda a definição de senhas fracas, o envio incorreto de dados sensíveis e outras práticas inseguras, como compartilhar senhas e conectar dispositivos pessoais à rede corporativa.
Pode parecer fácil corrigir esses erros, mas, na prática, o elemento humano é bem mais difícil de ser eliminado. Treinamentos não são suficientes porque é preciso criar uma cultura de cibersegurança e também um ambiente capaz de minimizar os riscos de que um erro humano gere algo mais sério.
Existe uma série de estratégias que podem ajudar as empresas a reduzir as chances de serem impactadas por um erro humano, sendo:
Soluções automatizadas
O uso de soluções de criptografia, gestão de senhas e regras de autenticação e acesso reduzem a possibilidade de erro. Boas ferramentas de detecção também podem ajudar a equipe corrigindo automaticamente situações problemáticas antes que elas se tornem um incidente ou, pelo menos, emitindo alertas.
Programa de Conscientização
Um programa de conscientização em segurança também é importante para reduzir o impacto dos erros humanos, mas não adianta apenas montar um cronograma de treinamentos. É preciso criar estratégias de apoio à execução de tarefas diárias, como checklists, campanhas por e-mail (phishing controlado), procedimentos padronizados e medidas disciplinares.
Testes de Segurança
Os testes de segurança também podem ajudar, revelando aos usuários suas próprias vulnerabilidades e permitindo que as empresas identifiquem alvos fáceis e contas privilegiadas que precisam ser monitoradas constantemente. Assim, a organização pode criar um programa de treinamento mais abrangente, com conteúdos específicos para executivos e usuários com contas com altos níveis de privilégio, e ainda desenvolver ações diferenciadas para atingir os usuários de acordo com suas vulnerabilidades.
Quer saber mais sobre as melhores práticas de segurança da informação? Fale com os especialistas Portnet!
Fonte: www.cio.com.br