De acordo com o INCIBE e a ENISA, os incidentes de cibersegurança aumentaram cerca de 24% nos últimos dois anos (ENISA 2024, INCIBE 2023). Para a ENISA, o fator humano continua a ser o elo mais fraco (ENISA 2024). A maioria das falhas de segurança são causadas por erro humano, falta de formação ou atitudes negligentes (Liu e Lin 2022).
Um dos eventos de segurança mais significativos dos últimos anos, o incidente da Crowdstrike, que afetou 8,5 milhões de sistemas Windows em julho de 2024 (Reuters 2024, Financial Times 2024), não foi resultado de um ataque cibernético, mas sim consequência de erro humano. Recentemente, a Clorox processou o seu fornecedor de IT, a Cognizant, por alegada negligência, já que os atacantes aparentemente obtiveram credenciais de administrador com as quais lançaram um ransomware – um software malicioso – simplesmente pedindo através do chat de suporte, sem a necessidade de quaisquer ferramentas maliciosas. Então, como podem os riscos associados ao comportamento humano ser eficazmente abordados?
Seria desejável contê-los com tecnologia, já que em alguns casos isso poderia mitigar significativamente o comportamento de risco. Por que não focar a cibersegurança exclusivamente em medidas técnicas? Não seria mais eficaz se a segurança corporativa cuidasse da segurança e os funcionários cuidassem de fazer os seus trabalhos?
A resposta é clara: existe um equilíbrio entre segurança e operabilidade. Por outras palavras, não é possível garantir um ambiente completamente seguro sem comprometer o desempenho dos funcionários. O fator humano nunca pode ser completamente eliminado. Os criminosos sabem disso e procuram explorá-lo para alcançar os seus objetivos. Além disso, as medidas técnicas também podem falhar. E isso deixaria as pessoas e organizações completamente expostas.
É aqui que a sensibilização para a cibersegurança desempenha um papel crucial. A sensibilização sobre os riscos decorrentes das nossas ações e situações que representam um risco maior fornece-nos uma camada de proteção que a tecnologia por si só não pode oferecer. De acordo com Alshaikh, Maynard e Ahmad (2022), um alto nível de conhecimento técnico contribui para a adoção de práticas seguras, e a sensibilização de riscos influência, embora em menor medida, a intenção e a ação. Há muitas situações em que a compreensão dos riscos e das práticas seguras por parte dos funcionários tem implicações para a segurança no BBVA, incluindo, entre outras: relacionamentos com fornecedores, complexidade, custódia e partilha de credenciais, ativação de autenticação de dois fatores em todos os serviços e cumprimento rigoroso de protocolos e procedimentos, especialmente aqueles relacionados à verificação de identidades de terceiros.
Na era da inteligência artificial e dos ataques personalizados, os criminosos desenvolvem e exploram novas vulnerabilidades todos os dias, e neste cenário, a proteção só pode ser baseada no conhecimento e no nível de sensibilização das pessoas. De acordo com Roberto Ortiz (BBVA 2020), Global Head of People Information Security do BBVA, o fator humano tornou-se a principal ferramenta para proteger as organizações. No entanto, o próprio Ortiz (2020) aponta que há uma escassez de profissionais com habilidades mistas em segurança, engenharia e análise de dados, o que dificulta a defesa adequada em um ambiente com volumes crescentes de informações. Portanto, e também nas palavras de Ortiz, a segurança pode tornar-se uma vantagem competitiva se forem desenhadas experiências de usuário positivas. O desafio é adaptar a sensibilização à realidade e às necessidades de cada grupo.
Uma abordagem transversal e multidisciplinar baseada na gestão de riscos humanos começa com a política e envolve a incorporação do fator humano nos processos e procedimentos de toda a organização. De acordo com o INCIBE, o fator humano é o elo mais importante na segurança e está sob controlo com uma boa política de segurança (INCIBE 2018).
Configuração de cookies
