O fator humano na defesa (e ataque) à organização

Errar é humano, mas, quando se trata de cibersegurança, um erro pode ser fatal para uma empresa menos preparada. As organizações podem ter as soluções prontas a usar, mas uma configuração mal feita pode deitar tudo por terra.

Ao longo dos últimos anos, o ser humano tem sido identificado como o elo mais fraco da cadeia de cibersegurança de uma organização, mas, ao mesmo tempo, a intuição humana pode ser a primeira barreira contra um ciberataque, até porque os sistemas de monitorização e segurança habitualmente precisam de um humano para interpretar os alertas que a organização recebe.

Em 2017, a Federal Information Systems Security Educators’ Association (FISSEA), dos Estados Unidos, promovia uma conferência sobre cibersegurança e o fator humano e como se deve priorizar as ‘soluções humanas’ para aumentar a ciber-resiliência.

Nesta conferência, a FISSEA indicava que “já não é suficiente criar uma infraestrutura segura para a informação” e que as organizações “também têm de endereçar os fatores humanos na cibersegurança ao cultivar uma força de trabalho informada e proativa”.

Na estratégia apresentada mostraram-se três pontos para um caminho efetivo para endereçar os fatores humanos que podem aumentar o ciber-risco de uma organização: o desenvolvimento da força de trabalho em termos digitais, o treino e awareness e, por fim, envolver os stakeholders e a liderança.

No primeiro ponto, a FISSEA indicava que é essencial construir uma força de trabalho cibernética, capaz de estarem preparados para os desafios da cibersegurança através de esforços de recrutamento e de retenção de talento. Já no segundo ponto, é necessário analisar com um olhar renovado os esforços dados ao treino e awareness em segurança da informação e fornecer oportunidades de aprendizagem imersivas para reforçar uma mudança de comportamento. Por fim, na terceira estratégia, é fundamental criar parcerias com a liderança entre várias organizações para assegurar que essa liderança seja parte ativa nos programas de cibersegurança.

Proteger o “elo mais fraco”

Se o ser humano é o “elo mais fraco” da cadeia de cibersegurança, então é preciso protegê-lo. Rui Duro, Country Manager da Check Point Software Technologies, indica, “de forma curta e direta”, que a melhor forma de proteger esse elo é através da implementação de “soluções tecnológicas especializadas para o efeito e sensibilizar as equipas para os riscos que correm”.

	Carlos Galdón, Sophos

Carlos Galdón, Channel Director da Sophos Iberia, relembra que “os sistemas humanos e de segurança devem trabalhar de mãos dadas, pois nenhum funciona bem sem o outro”. Se “é certo que os humanos são mais propensos a ataques de phishing e outras ameaça”, então é necessário colocar “filtros no e-mail para impedir que os humanos recebam essas mensagens, utilizar a autenticação multifator para proporcionar segurança extra e impedir o roubo de credenciais, e sistemas de monitorização que ajudam a detetar padrões incomuns de atividade e indicam se o login de alguém não está a decorrer como é esperado”.

Hugo Batista, Solutions Specialist de Security, Compliance and Identity na Microsoft Portugal, refere que “os sistemas de informação têm como objetivo tornar as organizações mais eficientes e produtivas, e o humano é, sem dúvida, o elo mais importante no valor da organização”. Assim, diz, “a segurança deve e tem que fazer parte dos princípios base de engenharia na construção de sistemas de informação”.

Marcelo Carvalheira, Country Manager da Fortinet Portugal, indica que “atualmente, e mais do que nunca, é fulcral tornar os colaboradores num dos principais agentes de cibersegurança, uma vez que, do ponto de vista dos atacantes, o fator humano representa uma das maiores vulnerabilidades das organizações”. Com base num estudo da própria Fortinet, Marcelo Carvalheira indica que “a falta de competências em cibersegurança contribuiu para 80% das tentativas de ataques, sendo que oito em cada dez das organizações inquiridas sofreram pelo menos um ataque que poderiam atribuir à falta destas mesmas competências. Face a estes indicativos, a melhor forma de proteger os colaboradores e, consequentemente, as organizações, passa por fornecer, além das ferramentas necessárias, formações contínuas de sensibilização sobre segurança que permitam a todos os utilizadores identificar, facilmente, técnicas de ataque”.

Humano, um fator “importante” no ciberataque

O ser humano pode não ser o ponto fundamental para os ciberataques – de um modo geral – terem sucesso, mas isso não significa que não possam ter um papel importante para que o ciberataque tenha o sucesso pretendido.

Hugo Batista refere que o fator humano é “apenas mais uma componente na equação de risco”, embora, diz, “exista algum caminho a percorrer na consciencialização dos utilizadores e organizações relativamente aos novos desafios de cibersegurança”. “Temos assistido a uma maior sofisticação no tipo de ataques, a uma velocidade que se torna difícil de acompanhar pelos utilizadores comuns. Numa abordagem de defesa em profundidade, as organizações devem ter em conta que o fator humano pode falhar e, por isso, devem adotar modelos de gestão de risco que lhes permitam mitigar esse mesmo risco”.

Para Marcelo Carvalheira, “o desconhecimento, por parte dos utilizadores, pode ser uma das principais razões para um ciberataque ter sucesso”, até porque “os cibercriminosos procuram, acima de tudo, ter acesso à única vulnerabilidade que não pode ser tecnologicamente programada - os seres humanos. Face às elevadas tentativas, as probabilidades estão a favor dos atacantes na medida em que basta apanhar um utilizador desprevenido, que carregue num link malicioso e, consequentemente, abra as ‘portas’ de toda a rede corporativa”.

	Rui Duro, Check Point Software Technologies

Rui Duro indica que o ser humano não é a principal razão do sucesso de um ciberataque, ainda que, “em grande parte das vezes, é o fator humano ou, melhor dizendo, o erro humano, que permite o início de um ciberataque, isto é, a penetração do sistema por um agente externo malicioso”. No entanto, alerta, “há muitos outros fatores determinantes, como, evidentemente, o nível de proteção da empresa em questão”.

Para Carlos Galdón, a má gestão e a monitorização “são motivos tão frequentes” para o sucesso de um ciberataque “quanto o erro humano”, até porque “que a maioria das invasões começa com o facto de não se terem corrigido sistemas vulneráveis com a rapidez necessária, ou porque credenciais foram roubadas em ataques anteriores”.

A “firewall humana”

Mas nem só de erros se faz o humano e os colaboradores podem ser, também, os primeiros a descobrir uma campanha maliciosa contra a organização.

Marcelo Carvalheira indica que é exatamente pelo facto de que o colaborador puder ser um ‘porteiro’ e conseguir parar um determinado ciberataque que “é cada vez mais importante implementar uma firewall humana. Comportamentos descuidados podem ter um efeito duradouro nas organizações, especialmente no caso de uma violação de dados. A partir do momento em que os colaboradores estão a trabalhar a partir de casa, estão mais suscetíveis a ataques de engenharia social. Com isto em mente, e uma vez que os colaboradores podem ser a melhor linha de defesa, é crucial impulsionar a formação e a consciencialização dos mesmos no que diz respeito a toda a estratégia de segurança cibernética”, refere.

Para Rui Duro, é importante investir na formação em cibersegurança das equipas exatamente para que possam prevenir um possível ciberataque, até porque só com essa formação “estarão alerta, sendo capazes de identificar possíveis indícios de ciberataques. Se as pessoas estiverem sensibilizadas para o tipo de ataques que existem, provavelmente desconfiarão ao receber e-mails com erros ortográficos e não vão abrir anexos sem pensar duas vezes”.

Se os invasores podem ver mil colaboradores como mil alvos, então, diz Carlos Galdón, esses mil colaboradores podem ser utilizados como “’sensores remotos’, servindo como indicadores precoces de um ataque. Atualmente, muitas empresas oferecem recompensas a quem reportar ataques de phishing à equipa de segurança, o que permite que esta determine que colaboradores, para além de quem reportou, podem ter sido atingidos e, assim, tomar medidas para proteger os utilizadores menos experientes”.

	Hugo Batista, Microsoft Portugal

Já Hugo Batista acredita que “as organizações devem ter nos seus planos de cibersegurança ações de sensibilização dos utilizadores para que tenham maior consciencialização dos perigos no seu dia-a- -dia. A cibersegurança é um trabalho de equipa e apenas com a colaboração de toda a organização é possível mitigar e prevenir incidentes”.

O trabalho da consciencialização

Assim, e como forma de proteger as organizações e os colaboradores, é importante consciencializar as pessoas para os perigos que podem existir.

Citando um estudo da Sophos, Carlos Galdón indica que “91% dos inquiridos indicou ter um programa de sensibilização para a cibersegurança. A qualidade destes programas pode variar muito, mas a maioria das empresas parece perceber que são importantes”.

Para o representante da Microsoft, “os mais recentes eventos criaram uma maior consciencialização da sociedade no geral, nomeadamente quando alguns tiveram maior impacto em sistemas críticos e cruciais para a economia e segurança do cidadão comum”. No entanto, ainda há trabalho a fazer, “nomeadamente na alocação de orçamentos dedicados para ações de formação ou exercícios de resposta a incidentes. Em alguns setores da economia, ainda vemos organizações a encarar a cibersegurança como ‘um problema do IT’ e que demonstra que é necessário alterar mentalidades e culturas organizacionais”.

Sabendo que os ciberataques “ocorrem diariamente e afetam empresas de diferentes dimensões e setores”, Marcelo Carvalheira, da Fortinet, indica que a consciencialização referente ao tema da cibersegurança não elimina por completo “a probabilidade de a organização ser atacada, mas, o facto de estarem informados, permite estar mais alerta para detetar e evitar possíveis tentativas de ataque”.

Rui Duro, da Check Point, acredita que a consciencialização “começa a ser cada vez mais um tema presente na agenda dos gestores TI, mas estamos ainda muito atrás. A grande questão aqui é acompanhar a velocidade de evolução das ameaças, algo que não estamos de todo a fazer, seja ao nível de implementação de soluções de prevenção, seja ao nível da consciencialização”.

Aumentar a proteção do colaborador

Carlos Galdón, da Sophos, relembra que “a segurança não é algo que só diga respeito às equipas de TI ou de segurança, é um esforço de toda a organização”. Assim, “a equipa de segurança precisa de colaborar com todos os diferentes departamentos para identificar os riscos e implementar planos que aqueles poderão seguir para reduzir os riscos e as ameaças. Se isto acontecer em toda a organização, será mais fácil identificar as prioridades mais altas e, muitas vezes, a colaboração leva a melhores soluções que aumentam a eficácia, ao invés de impedir ataques de acontecerem”.

	Marcelo Carvalheira, Fortinet Portugal

Marcelo Carvalheira refere que “o número de profissionais dedicados à cibersegurança precisa de aumentar 65% para defender eficazmente os ativos críticos das organizações”. Tendo em conta a carência de profissionais especializados atuais, é importante que as organizações “invistam na formação e certificação dos colaboradores. Uma forte educação sobre cibersegurança é fundamental para que o colaborador se consiga proteger a si e ao seu empregador”.

Por último, Rui Duro refere que “os grandes pilares para uma maior proteção das equipas são, como sempre, a tecnologia e o fator humano. Contar com soluções especializadas que previnam contra as ameaças e em todos os possíveis vetores, por um lado; e, por outro, investir na formação contínua das equipas para que tenham os conhecimentos necessários para identificar as ameaças”. No entanto, diz, “os conselhos são simples de enunciar, mas não tão simples assim de implementar, uma vez que requerem, no caso de algumas empresas, repensar toda a estrutura atual”.