Sabe aquela foto do crachá ou da mesa de trabalho que o funcionário posta todo orgulhoso nas redes sociais? Então, um prato cheio para o cibercriminoso. E ser gentil com alguém supostamente do banco que liga e pede para você baixar uma aplicação nova? Em segurança da informação, “a gente tem que lidar com uma questão muito particular do brasileiro, que é a empatia”, diz Priscila Meyer, CEO da Flipside, especializada em programas de conscientização sobre ciberataques. Os erros humanos respondem por 52% dos ataque cibernéticos sofridos por empresas no Brasil, mostra uma pesquisa da Flipside com 200 CSOs de grandes empresas. E a empatia é a causa de vários deles. Isso tudo apesar de os investimentos crescerem cerca de 35% ao ano em segurança da informação. Na entrevista a seguir, Priscila afirma que as empresas precisam ver a segurança cibernética como uma estratégia de negócios.
Mesmo com investimentos crescentes em segurança da informação, um dos maiores problemas nas empresas continuam a ser os descuidos das pessoas?
O sistema evolui, mas se não forem criados mecanismos para que as pessoas protejam as informações, todo o investimento em tecnologia e sistemas vai por água abaixo. O erro humano sempre está à frente da máquina. O cibercriminoso se sofistica para enganar as pessoas e faz isso porque os sistemas estão mais complicados para serem invadidos, então vai no elo mais fraco, o ser humano. Por exemplo, não é incomum alguém ligar para a área financeira de uma empresa, se apresentar como sendo do banco e pedir que instalem programas para facilitar pagamentos ou outras operações, mas na verdade, o que o funcionário está instalando são malwares.
Mas isso não é um erro básico?
A gente tem que lidar com uma questão muito particular do brasileiro, que é a empatia. Se o cibercriminoso se mostra bastante empático, diz que quer ajudar, diz que tem uma solução para o dia a dia, as pessoas normalmente tentam responder a isso aceitando o que é oferecido. São mesmo situações muito básicas. Em testes de engenharia social (pegar informações através de uma conversa), tentamos burlar procedimentos de entrada em áreas comerciais, por exemplo. Não vou burlar o sistema da catraca, vou tentar burlar o segurança, digo que o crachá não funciona. Pego antes um crachá que um funcionário postou nas redes sociais e faço um para mim. E isso pode vir de qualquer tipo de pessoa, o cibercriminoso não tem cara de criminoso.
Muita gente ainda posta foto de dentro da empresa sem se dar conta do risco?
Postar foto de crachá, de mesa de trabalho, são vulnerabilidades que colocam a empresa em risco. Muitas vezes, o funcionário faz isso porque tem orgulho de trabalhar naquele local. As pessoas precisam entender o quanto são vulneráveis a uma ação criminosa. Tem uma migração do cibercriminoso de tentar entrar na rede pelo usuário, ao invés de atacar a rede, que é protegida. Hoje, ainda as maiores preocupações dos CSOs é no que os funcionários vão clicar, os phishings.
A LGPD tem tido algum impacto?
Na pesquisa da Flipside, 87% dos gestores disseram que a com a adequação à LGPD (Lei Geral de Proteção de Dados), a segurança da informação ganhou mais relevância na empresa. As empresas estão vendo os custos que estão tendo com vazamento de informação e com a sua imagem.
A Vaza-Jato mudou a percepção das empresas sobre segurança da informação?
Sim, mas já houve casos de empresas que tiveram vazamento de dados e queda no preço de suas ações, que até deveriam ter gerado maior preocupação do que a Vaza-Jato. Porém, muitas ainda veem a segurança cibernética como gasto e não como investimento. A regulamentação vem para ajudar, mas elas ainda precisam ter a visão da segurança cibernética como estratégia de negócios, a visão de que estão vendendo a segurança junto com seus produtos.
Como está a migração da segurança cibernética nas empresas?
A segurança nasceu dentro da área de TI, que é muito operacional, dentro de sistema e tecnologia, e isso não basta. Está havendo uma migração, com áreas de segurança respondendo diretamente ao presidente, ao CFO ou à diretoria. O lugar certo é responder ao presidente, para ter força suficiente para ser implantada em toda a empresa, porque é a uma responsabilidade de todos. Conselhos administrativos, vice-presidentes e diretorias são os principais alvos de cibercriminosos. Se eles não seguem uma política de segurança, vão ficar mais vulneráveis e trazer um problema sério para a empresa. É uma responsabilidade compartilhada. A área de segurança pode informar qual a responsabilidade das pessoas, mas cada gestor deve saber como usar as informações de sua unidade. Ele precisa estar a par dessa questão.
Quais as outras preocupações que a pesquisa da Flipside mostrou?
Depois da preocupação com as pessoas clicarem em links sem checar se são legítimos, a segunda maior preocupação dos gestores é o compartilhamento de senha. Outra preocupação é o mal uso de grupos de Whatsapp. O Whatsapp não é uma ferramenta homologada pela empresa. As pessoas usam para passar informação de um cliente para um funcionário que pode mudar de emprego, ir para a concorrência e levar as informações que a empresa não consegue rastrear. As pessoas só podem usar ferramentas homologadas pelas empresas, porque se acontecer qualquer fraude, é possível ter o histórico de onde e como o problema aconteceu.
#segurançacibernética hashtag#segurançadedados hashtag#segurançadainformação hashtag#cybersecurity hashtag#cibercrime hashtag#cibercriminosos hashtag#cybercrime hashtag#cybercriminal hashtag#LGPD
