O Fator Humano na Segurança da Informação

No cenário atual, onde a tecnologia permeia cada aspecto de nossas vidas pessoais e profissionais, a segurança da informação se tornou fundamental para garantir reputação e credibilidade aos negócios.

Contudo, é crucial reconhecer que a eficácia de qualquer sistema de segurança da informação está intrinsecamente atrelada ao fator humano e ao seu comportamento.

Historicamente, os seres humanos têm sido identificados como o elo mais fraco na cadeia da proteção digital. Fragilidades humanas, como o uso de senhas fracas, o compartilhamento descuidado de informações confidenciais, ou a suscetibilidade a ataques de phishing, são apenas alguns exemplos de como a ação ou inação de um único indivíduo pode comprometer organizações inteiras.

A engenharia social, que explora a tendência humana à confiança, exemplifica como as técnicas de ataque se adaptaram para explorar vulnerabilidades comportamentais, em vez de apenas vulnerabilidades técnicas.

Resolver esta equação não tem sido muito fácil, apesar de investimentos em tecnologias de cybersegurança terem crescido drasticamente, muitas organizações ainda são sequestradas por “ransomwares” por desconhecimento, desleixo ou até preguiça do seu time em praticarem ações que contemplem outros aspectos que a tecnologia não pode resolver.

A falta de preocupação com a tal segurança da informação por parte de muitas pessoas pode ser atribuída a uma combinação de fatores psicológicos, culturais e educacionais:

Sensação de Invulnerabilidade: Muitas pessoas operam sob a crença de que são improváveis de serem alvos de ataques cibernéticos. Esse fenômeno, conhecido como “viés de otimismo”, leva as pessoas a subestimar os riscos e superestimar suas próprias habilidades de evitar tais riscos. O excesso de confiança é um prato cheio para golpes e ciladas virtuais.

Falta de Conhecimento: A segurança da informação pode ser um campo complexo e em constante evolução, e muitos indivíduos podem não estar plenamente conscientes dos riscos ou das melhores práticas para se proteger online. Além disso, se nunca experimentaram um incidente de segurança, podem não perceber a importância de se proteger.

Comodidade: Em muitos casos, as medidas de segurança podem ser vistas como um obstáculo à conveniência. Por exemplo, criar e lembrar de senhas complexas, usar autenticação de dois fatores, ou atualizar regularmente o software pode ser visto como incômodo e, por isso, negligenciado por quem deveria se proteger. Se uma pessoa não consegue proteger seu whatsapp pessoal ou rede social, não espere que ela terá atitudes de proteção completamente opostas dentro da empresa.

Banalização do Compartilhamento de Informações: Na era das mídias sociais e da conectividade constante, tornou-se, culturalmente, normal e banal compartilhar uma grande quantidade de informações pessoais. O excesso de exposição pessoal, principalmente por vaidade, é uma tendência. E isso pode levar a uma menor percepção dos riscos associados ao compartilhamento de dados se estas nunca tiveram nenhum contratempo ou inconveniência de segurança. O uso da inteligência artificial com objetivos sombrios já está demonstrando para muitos o quanto uma imagem pessoal pode se tornar gatilho para extorsão, chantagem e humilhação com deep fakes, por exemplo.

Desconexão entre Ação e Consequência: Muitas vezes, as consequências de práticas inseguras de segurança da informação não são imediatas ou visíveis. Isso pode criar uma desconexão psicológica entre a ação (como usar uma senha fraca) e a potencial consequência negativa (como ter uma conta invadida), ou seja, como isso “nunca aconteceu” é provável que “nunca irá acontecer”; É o maior erro humano de ser praticado, no mundo digital, que pode custar muito caro a todos que trabalham com esta pessoa, afinal a força de uma corrente é determinada pela fragilidade do seu elo mais fraco. Cuidar do comportamento dos outros que nos cercam é fundamental, também, para minha própria segurança.

Carga Cognitiva: As pessoas têm uma capacidade limitada para processar informações e podem priorizar outras preocupações do dia a dia e negligenciar ações de controle pessoal para reforçar a sua própria segurança e proteção. Isso é particularmente verdadeiro se elas perceberem que a segurança da informação é um tópico complexo ou intimidador. Então treinamentos complexos, teóricos ou enfadonhos não ajudam muito na conscientização das pessoas, afinal, pela teoria da aprendizagem de Glasser é notório e conhecido de que as pessoas passivas em uma sala de aula guardam menos de 20% do que é falado ou reproduzido por um instrutor ou professor. É preciso mudar a forma como se ensina e conscientiza um time interno sobre segurança da informação.

Confiança Excessiva em Soluções Tecnológicas: Alguns indivíduos podem acreditar que as medidas de segurança já incorporadas em seus dispositivos ou softwares são suficientes, subestimando a necessidade de uma vigilância e ação proativas constante de sua parte. Confiam demais na tecnologia (como alguns confiam em cadeados e trancas em suas portas) e negligenciam hábitos negativos como adesivar a senha de acesso da rede corporativa embaixo do teclado ( o equivalente a deixar a chave da sua porta embaixo do tapete no hall de entrada).

Avaliem como empresas acumulam uma quantidade significativa de dados críticos, incluindo informações financeiras, propriedade intelectual, dados de clientes, e informações estratégicas internas. Se a segurança da informação não for uma obsessão, em todas as áreas do negócio, por todos, independente de cargo ou função, não há como garantir continuidade ou perpetuidade desta corporação.

A pergunta crucial que resta é: Se você fosse um investidor e soubesse que a empresa, da qual gostaria de comprar ações ou participação societária, fosse negligente e relapsa quanto a segurança da informação, você faria o investimento? Arriscaria colocar seu dinheiro lá?

Provavelmente não, diria um ser racional! Mas o ser humano é também emocional e por isso, muitas vezes, não tem critérios objetivos para tomar decisões. Age por impulso. E é isso que anima os criminosos cibernéticos, pois pessoas são seres intrinsicamente frágeis em suas decisões e, portanto, vulneráveis e influenciáveis.

Imagine as consequências para um investidor que percebe esta negligência corporativa. São desastrosas para os interesses e expectativas dos seus acionistas. Em operações de M&A, por exemplo, um negócio pode ser desvalorizado em alguns milhões, simplesmente, porque não consegue demonstrar que seus ativos estão protegidos ou que já foram compartilhados com terceiros, em incidentes, incrivelmente, omitidos do mercado. É hoje, um grande argumento, para o comprador, barganhar o custo de aquisição de um negócio, basta começar pela auditoria de sua política de segurança da informação.

Violações de segurança frequentemente resultam em custos diretos significativos, incluindo multas regulatórias, custos legais, gastos com remediação e potencial compensação a clientes afetados. Estes custos podem afetar a saúde financeira da empresa e, consequentemente, o retorno sobre o investimento. Então, nada mais natural do que proteger para crescer!

Mas o fator humano que fragiliza uma organização também passa pelo comportamento da alta gestão e do seu corpo diretivo.

Se estes não demonstram interesse em mitigar riscos sobre seu próprio empreendimento porque seriam confiáveis ao terem comportamentos inadequados quando estão pilotando uma empresa? Provavelmente, seus estilos e visões sobre segurança da informação também os expõe quanto ao seus apetites por riscos.

Reparem que, na prática, são sempre eles os principais alvos de um ataque. Afinal o acesso de um deles, o atacante terá muito mais dados e informações do que um colaborador de nível hierárquico menor.

Regras de segurança são para todos ( sem exceções) , inclusive ou talvez ainda mais para seus principais líderes e não apenas para o corpo funcional. Afinal são humanos e podem falhar tanto quanto qualquer um. O ponto é que um acesso, com as credenciais de um Diretor, por hipótese, vai deixar um estrago muito profundo na empresa e que, talvez, não possa mais ser recuperada por problemas com reputação, perda de clientes, diminuição de faturamento, exposição inadequada, multas em processos judiciais e/ou administrativos, entre outras tragédias possíveis.

Diversas organizações priorizam a promoção de consciência e a realização de treinamentos abrangentes para os colaboradores como estratégias para mitigar riscos e elevar o patamar de segurança. No entanto, é imperativo enfatizar a importância do engajamento ativo e exemplar também da liderança executiva nesse processo. Não deveria ser opcional como acontece em alguns casos.

É essencial que os membros da alta direção não apenas participem ativamente de todos os programas de formação, mas também demonstrem e documentem sua competência e entendimento nestas áreas vitais. A presença e o comprometimento da liderança nestas iniciativas são fundamentais para estabelecer um padrão de comportamento e promover uma cultura de segurança eficaz em toda a organização.

Afinal, liderar pelo exemplo ainda é fundamental para organizações formadas por humanos.

Bons Negócios a Todos. O tempo de mudar está passando…

Leia mais

Somos um escritório de alta qualidade para prestação servicos de Inteligência para pessoa física e jurídica.

NOSSOS SERVIÇOS

Empresarial
Familiar
Localização de Pessoas
Contra espionagem
Patrimônio
Direito Criminal

CONTATO

Telefone

 (11) 95758-3135

Telefone

(33) 98885-7277

ONDE ESTAMOS

Edifício Copan

Avenida Ipiranga, 200, São Paulo/SP

Somos um escritório de alta qualidade para prestação servicos de Inteligência para pessoa física e jurídica.

ONDE ESTAMOS

CONTATO

Copyright 2022. ADDP  BRASIL CNPJ 29.224.018/0001-59 I E conhecereis a verdade, e a verdade vos libertará. (João 8:32)

Abrir bate-papo
Precisa de ajuda?
ADDP BRASIL
Olá!
Em que podemos ajudar?