Para quem trabalha com cibersegurança ou se interessa pelo tema, não é novidade ouvir que o usuário é o elo mais fraco na estratégia cibernética de uma organização. Mas qual o motivo disso?
A “automatização” do ser humano
O uso da inteligência artificial para automatizar tarefas e aumentar a produtividade é tendência global. Mas quando pensamos na realização de atividades do nosso cotidiano, você já parou para pensar que às vezes vivemos no automático?
Muito além das tarefas que o corpo realiza sozinho, como respirar e piscar, nosso cérebro automatiza diversos processos que fazem parte da nossa rotina. Fazemos tantas coisas sem prestar tanta atenção, que é comum ‘bugar’ e esquecer se fechou a porta, desligou a luz antes de sair, etc.
Você vai até o escritório pelo mesmo caminho todos os dias, liga o computador, confere as notícias rapidamente, reserva uns minutos para checar os e-mails e se livrar dos spams. Tudo isso enquanto pensa no que vai fazer durante o fim de semana. Alguma mensagem recebida chama a atenção, mas não o suficiente para pensar duas vezes antes de clicar em um link aparentemente normal…
A mídia nos passa a ideia de que hackers trabalham sozinhos, de capuz em um quarto escuro, digitando rápido em um computador e resolvendo as coisas em segundos. Mas além de serem muito bons com tecnologia, os cibercriminosos também possuem conhecimento em comportamento humano e essa rotina automatizada é uma oportunidade que eles sabem explorar muito bem.
Os ciber criminosos utilizam técnicas como phishing para realizar invasões que passam quase despercebidas até causarem danos. Por exemplo: chega um e-mail de um remetente conhecido, como um colega ou alguém com quem o usuário faz negócios. Com o gatilho despertado pela frase correta, é criada uma sensação de urgência ou curiosidade mínima que leva nosso cérebro, no piloto automático, a enviar o estímulo para acessar o link na mensagem precipitadamente.
O usuário é um problema, mas não é o único
O tamanho da superfície de ataque aumenta de forma proporcional com a digitalização constante dos negócios de uma organização.
Imagine que cada ativo representa uma possível vulnerabilidade e a organização direcionar seus esforços para mitigação de quase todas, mas deixando uma para trás. Por consequência, aquela brecha que permaneceu aberta se tornará o elo mais fraco da jornada de segurança.
O investimento em cibersegurança é essencial, mas muitas vezes a conscientização dos usuários não é encarada como uma etapa dessa estratégia. Por isso, ao contrário do que é mostrado em filmes e séries, é mais fácil enganar alguém num ataque de phishing para roubar dados, do que invadir um computador ou rede. De acordo com o FBI, e-mails de phishing são o método de ataque mais usado para propagar ransomware entre usuários e, muitas vezes, organizações.
Não é preciso pesquisar muito para localizar em exemplo isso: em abril de 2024, o SIAFI, Sistema de Administração Financeira do governo federal brasileiro, foi invadido por um ataque que iniciou como phishing. A investigação suspeita que, durante meses, os responsáveis reuniram um volume considerável de senhas de funcionários do TSE que tinham autorização para realizar transações antes de finalizarem o plano. O resultado? 15 milhões de reais transferidos para contas laranja espalhadas pelo país.
Conclusão
A corrente é tão forte quanto seu elo mais fraco.
É injusto apontar o fator humano como principal desafio na segurança cibernética se não é dispensado em user education o mesmo investimento que é reservado para outras áreas.
Atualmente, existem comerciais de televisão alertando pessoas a prestarem atenção quando receberem uma mensagem suspeita, solicitando dados ou orientando a acessar links estranhos. As organizações financeiras são as principais adotantes dessa estratégia de conscientização em massa.
Um time pronto, que tem conhecimentos sobre boas práticas online, treinado para identificar tentativas de phishing, se transforma em uma linha de frente da segurança cibernética.
Os colaboradores de uma organização são o principal ativo para o sucesso de um negócio. Ao promover uma cultura de segurança, a equipe se torna parceira atuante na proteção contra ameaças cibernéticas.
Deseja realizar essa transformação em seu time e garantir que levarão esses conhecimentos para a vida dentro e fora do trabalho? Conheça mais sobre nossas soluções para educação do usuário e fale conosco!
