Se há algo que tem sido destacado repetidamente nos últimos anos, é o seguinte: as equipes de segurança enfrentam dificuldades.
Ataques cibernéticos em evolução, colegas descuidados ou sem noção, colegas com rancor ou desejo de mais dinheiro, sistemas e software não corrigidos, a grande variedade de novos dispositivos e redes domésticas inseguras introduzidas no combinação de segurança – a lista de ameaças potenciais é infinita, ao contrário do número de funcionários da sua amigável equipe de segurança do bairro.
De acordo com o Relatório sobre o estado da segurança cibernética de 2022 da ISACA , 62% das equipes de segurança cibernética têm falta de pessoal, enquanto 63% têm vagas não preenchidas. Além disso, mais de metade dos gestores de contratação (55%) inquiridos geralmente sentiam que os candidatos para as suas equipes de segurança cibernética não eram bem qualificados.
Portanto, a falta de mão de obra nas equipes de segurança cibernética não é um problema que será resolvido tão cedo. Entretanto, os ataques cibernéticos estão mais frequentes, sofisticados e fáceis de executar.
O golpe duplo resultante deixou os profissionais de segurança cibernética em maior risco de esgotamento. O relatório State of Pentesting 2022 da Cobalt descobriu que 58% dos entrevistados estavam sofrendo de esgotamento. Além disso, 63% e 64% dos entrevistados disseram que houve algum impacto na sua saúde mental e física, respectivamente.
Resumindo: as equipes de segurança têm falta de pessoal e precisam de toda a ajuda que puderem obter.
Mais tecnologia por si só não é suficiente
Um raio de esperança nestes tempos difíceis tem sido a evolução do cenário da segurança cibernética. As plataformas e soluções de segurança estão adotando cada vez mais a IA e o machine learning para automatizar vários aspectos da segurança de TI.
A automação pode ajudar a reduzir a quantidade de trabalho pesado que a equipe de segurança precisa realizar. Ele também pode atuar como um multiplicador de forças, permitindo que a equipe proteja e monitore com eficiência a superfície de ataque empresarial em expansão e responda a incidentes com mais eficiência.
O poder de fogo extra que a IA traz para a mesa é ainda mais importante à luz do uso dessas tecnologias por atores mal-intencionados. Empresas como Malwarebytes, Symantec e McAfee soaram o alarme sobre ataques cibernéticos baseados em IA já em 2018.
Com soluções de segurança emergentes, como plataformas estendidas de detecção e resposta (XDR), o crescente interesse em arquiteturas Zero Trust e estruturas e práticas recomendadas de segurança centradas na identidade, parece que a segurança está indo na direção certa.
No entanto, mesmo a melhor tecnologia do mundo não consegue manter uma organização protegida contra erros cometidos por funcionários desatentos ou desinformados. Desde pessoas clicando em links em emails que exigem “ação urgente” até abrir as portas para um “colega” que está ocupado, há muitas maneiras pelas quais malfeitores podem entrar na sua rede ou nas instalações do escritório.
No caso de malware e outras ameaças, a tecnologia de segurança pode ajudá-lo a detectá-los e impedir que agentes mal-intencionados se infiltrem ainda mais. Mas às vezes, mesmo os estágios iniciais de um ataque podem causar muitos danos. Além disso, a tecnologia pode ser capaz de manter os malfeitores fora do seu ciberespaço, mas seu XDR, SOAR, SIEM e outras plataformas tecnológicas estão atualmente indefesos contra alguém que entre fisicamente nas instalações do seu escritório.
Para proteger sua organização contra essas ameaças, você precisa se concentrar no que costuma ser chamado de elo mais fraco em seu perímetro de segurança: seu pessoal.
Por que ocorrem violações?
De acordo com o Relatório de investigações de violação de dados de 2022 da Verizon, 82% das violações envolveram um elemento humano. Isso inclui ataques de engenharia social – que foram responsáveis por mais de 20% das violações de dados no ano passado – erros e até mesmo uso indevido de privilégios. Portanto, nem é preciso dizer que você precisa fazer com que todo o seu pessoal, e não apenas o pessoal de segurança, trabalhe para proteger a organização.
Para começar, você precisa implementar e aplicar políticas de segurança que mantenham a organização segura sem adicionar atrito às tarefas diárias dos funcionários.
De acordo com um artigo recente da Harvard Business Review, muitos funcionários violam intencionalmente as políticas de segurança cibernética. As razões? Para realizar suas tarefas, para acessar algo de que precisam e para ajudar outras pessoas em seu trabalho.
Além disso, esses funcionários relataram maior probabilidade de violar as políticas de segurança nos dias em que se sentiam mais estressados. Isto leva-nos a uma observação interessante: as políticas de cibersegurança também foram vistas como uma fonte comum de stress. As pessoas eram mais propensas a violar as regras quando sentiam que a política afetaria a sua produtividade, exigiria mais trabalho ou tempo, ou faria com que se sentissem constantemente sob análise.
Isto nos leva a outro fato interessante da Pesquisa de Riscos de Segurança de TI 2017 da Kaspersky Lab e B2B International. Este estudo descobriu que 45% dos funcionários de grandes empresas escondem incidentes de segurança cibernética, possivelmente para evitar punições.
Esse medo não é infundado. O relatório IT Security Economics 2021 da Kaspersky mostra que 21% das empresas despediram funcionários devido a violações de dados, o que é melhor do que os 31% registados no relatório de 2018, mas ainda assim suficientemente elevado para fazer algumas pessoas hesitarem. Entretanto, um relatório de 2020 da Centrify mostrou que 39% das empresas do Reino Unido despediram pessoas por violações das políticas de segurança.
Números como esses são suficientes para fazer com que o culpado queira ocultar um incidente de segurança em vez de confessá-lo. Isso pode levar a um incidente menor que poderia ter sido eliminado pela raiz e se tornar a causa de uma violação grave.
Como evitar que violações continuem acontecendo?
Quer saber como evitar problemas como funcionários contornando as políticas de segurança e ocultando incidentes de segurança?
Uma solução é adotar políticas de segurança não punitivas. Remover a ameaça de punição pode eliminar parte do estresse e do medo nas mentes de seus funcionários, tornando-os menos propensos a esconder incidentes e desrespeitar as regras.
Outra forma de evitar violações intencionais de políticas é fazer com que as partes interessadas em todas funções de trabalho opinem sobre as políticas de segurança. Como suas políticas afetam o trabalho deles? As políticas ou produtos de segurança em uso adicionam atrito excessivo aos seus fluxos de trabalho? Existe uma solução alternativa que garanta a segurança sem afetar a produtividade?
Obter respostas a essas perguntas pode ajudar a tornar as políticas de segurança mais fáceis de serem seguidas e cumpridas por todos. No entanto, melhores políticas de segurança por si só não são suficientes. Essas políticas não servem para nada se o seu pessoal não estiver ciente delas. As sessões de formação e sensibilização em segurança visam educar os funcionários sobre as políticas de segurança, mas muitas vezes não com muito sucesso. O problema é que essas sessões são muito técnicas, áridas ou genéricas. Além disso, existe toda a ideia inspirada em Hollywood de que a segurança cibernética é supercomplexa (e, portanto, assustadora).
Isso faz com que as pessoas não entendam ou não se lembrem dessas práticas recomendadas por muito tempo. Mais importante ainda, eles não compreendem como estas políticas entram em jogo no contexto das suas funções e trabalho. Em outras palavras, eles podem nem saber que estão violando uma política de segurança ou colocando a organização em risco.
Na próxima entrada desta série de duas partes, falaremos sobre como tornar mais fácil para o seu pessoal lembrar e seguir as diretrizes de segurança cibernética.
Artigo original: People and security, Part 1: Are your security policies really keeping you safe?
