Segundo o INCIBE e a ENISA, os incidentes relacionados à cibersegurança aumentaram cerca de 24% nos últimos dois anos (ENISA 2024, INCIBE 2023). Para a ENISA, o fator humano continua sendo o elo mais fraco (ENISA 2024). A maioria das violações de segurança se origina por erros humanos, falta de treinamento ou atitudes negligentes (Liu e Lin 2022).
Um dos eventos de segurança mais relevantes nos últimos anos, o incidente da Crowdstrike, que afetou 8,5 milhões de sistemas Windows em julho de 2024 (Reuters 2024, Financial Times 2024), não foi o resultado de um ciberataque, mas a consequência de um erro humano. Recentemente, a empresa Clorox processou seu provedor de TI, Cognizant, por suposta negligência, já que aparentemente os atacantes conseguiram as credenciais de administrador com as quais lançaram um *ransomware*, apenas perguntando através do chat de suporte, sem a necessidade de nenhuma ferramenta maliciosa. Então: Como abordar os riscos associados às condutas humanas de forma eficaz?
Seria desejável poder contê-los com tecnologia, já que em alguns casos poderia mitigar em grande medida o comportamento de risco. Por que não focar a cibersegurança exclusivamente em medidas técnicas? Se a *corporate security* cuidasse da segurança e os funcionários de fazer seu trabalho, não seria mais eficaz?
A resposta é clara: existe um equilíbrio entre segurança e operacionalidade. Ou seja, não é possível garantir um ambiente completamente seguro sem comprometer o desempenho dos funcionários. O fator humano nunca pode ser completamente eliminado. Os criminosos sabem disso e buscam explorá-lo para atingir seus objetivos. Além disso, as medidas técnicas podem falhar. E isso deixaria as pessoas e organizações completamente expostas.
É aqui que o papel da conscientização se torna crucial. A consciência sobre os riscos derivados de nossas ações e as situações que representam um maior risco nos provê com uma camada de proteção que a tecnologia por si mesma não pode oferecer. Segundo Alshaikh, Maynard e Ahmad (2022), um conhecimento técnico elevado contribui para a adoção de práticas seguras e a consciência de riscos influencia, embora em menor medida, na intenção e na ação. Existem múltiplas situações em que as noções sobre riscos e práticas seguras dos funcionários têm implicações para a segurança no BBVA, como são, entre outras: a relação com fornecedores, a complexidade, custódia e compartilhamento de credenciais, a ativação do duplo fator em todos os serviços e o cumprimento estrito dos protocolos e procedimentos, especialmente aqueles relacionados à verificação da identidade de terceiros.
Em tempos de inteligência artificial e personalização dos ataques, os criminosos desenvolvem e exploram novas vulnerabilidades a cada dia e, neste cenário, a proteção só pode ser sustentada no conhecimento e no nível de conscientização das pessoas. Segundo Roberto Ortiz (BBVA 2020), Global Head of People Information Security no BBVA, o fator humano se torna a principal ferramenta para proteger as organizações. Embora, indica o próprio Ortiz (2020), exista uma escassez de profissionais com habilidades mistas em segurança, engenharia e análise de dados, o que dificulta a defesa adequada em um ambiente com volumes crescentes de informação. Por isso, e também nas palavras de Ortiz, a segurança pode se tornar uma vantagem competitiva se forem projetadas experiências positivas para o usuário. O desafio é adaptar a conscientização à realidade e às necessidades de cada coletivo.
Uma abordagem baseada na gestão do risco humano, transversal e multidisciplinar, começa com a política e passa por incorporar o fator humano nos processos e procedimentos de toda a organização. Segundo o INCIBE, o fator humano é o elo mais importante da segurança e está sob controle com uma boa política de segurança (INCIBE 2018).
Configuração de cookies
