Comportamento Inseguro: principal vetor de ataque para crimes cibernéticos
O Verizon Data Breach Investigations Report, 2022, indica que 82% das violações envolveram o elemento humano
Foto Edison Fontes
Edison Fontes, CISM, CISA, CRISC, Ms. 2023
Vetor de ataque é um método, um tipo de abordagem, um conjunto de técnicas, um roteiro direcionador que os criminosos utilizam de maneira estruturada e planejada, para obter acesso a ambientes não autorizados e desta maneira praticar ações ilícitas de acesso, bloqueio, sequestro de informação impactando negativamente a organização. (Edison Fontes, 2023).
Citando apenas uma referência de pesquisa com organizações, o Verizon Data Breach Investigations Report, 2022, indica que 82% das violações envolveram o elemento humano. Pessoalmente entendo que chega perto dos 100%.
O ser humano é quem produz o Comportamento Inseguro, seja pessoal ou organizacional. Neste segundo caso, pelos gestores e executivos que não implantam processos adequados de cibersegurança. Destaco abaixo os principais controles que se não tratados profissionalmente, geram com 100% de certeza um Comportamento Inseguro Pessoal ou Organizacional.
- COMPORTAMENTO INSEGURO PESSOAL
Termo criado por Edison Fontes, 2023.
É o comportamento de cada Colaborador (funcionário, prestador de serviço, parceiro, similar) ao tratar de maneira não profissional os controles de cibersegurança.
a. Treinamento
Realiza os treinamentos de segurança apenas para registra na folha de presença e não ser chamado atenção pelo RH ou sua chefia.
b. Cumprimento dos controles estabelecidos
Não segue os controles de proteção da informação definidos pela organização.
c. Tratamento de e-mails desconhecidos
Não toma cuidados e clica em links fornecidos ou baixa arquivos sem seguir as regras da organização.
d. Administrador – Negligência em implementação de controles na implantação de ferramentas
Quando o Colaborador tem o poder de Administrador ele autoriza ou implanta novas ferramentas ou versões atualizadas e não parametriza adequadamente para a organização. Senhas de administrador continuam com valor padrão da ferramenta.
e. Divulgação de informação da organização
O Colaborador, sem má intenção, divulga informações da organização em telefonemas, conversa de bar, conversa de elevador, redes sociais e até naquele super evento que ele foi honrosamente convidado. Bem como cos criminosos.
- COMPORTAMENTO INSEGURO ORGANIZACIONAL
São as ações ou a não existência de ações e controles que facilitam e às vezes incentivam o Comportamento Inseguro Pessoal.
a. Falta Cultura em Cibersegurança
A organização não considera que para a internalização dos controles pelos Colaboradores, é necessário tratar a Transformação Digital e a Cultura em Cibersegurança. Simples treinamento para assinatura de ata de evidência de presença, gera Comportamento Inseguro Organizacional.
b. Falta comprometimento do Corpo Diretivo
O tema Cibersegurança não é considerado na prática pelo Corpo Diretivo. E como deuses, tudo que for para estes senhores e senhoras, não seguem os controles de cibersegurança. Além das vulnerabilidades diretas no tratamento da informação, acontece o péssimo exemplo e se passa a mensagem de que cibersegurança é relativa.
c. Não alinhamento da Governança de Segurança da Informação com a Governança Corporativa
As ações, planejamento, definições de controles de segurança não seguem direcionadores da Governança de Segurança da Informação, que muito menos está alinhada com a Governança Corporativa. Ainda existem caso piores: nem existe Governança de Segurança da Informação.
d. Não existência de responsabilidades bem definidas e de conhecimento de todos
Quando não existe a definição de responsabilidade para cada profissional, e na outra visão, não existem responsáveis para cada controle, estamos próximos do caos da irresponsabilidade organizacional, gerando Comportamento Inseguro. Controles podem deixar de serem executados por pura falta de definição de quem deveria fazer esta ação.
e. Não existência de Regulamentos (políticas, normas e procedimentos)
A não existência, ou fraca existência, de regulamentos possibilita que existam controles tácitos, porém não formalizados. Muitas vezes a substituição de um colaborador, gera uma enorme vulnerabilidade em cibersegurança porque o novo colaborador tem pouco entendimento do que deve fazer. Ele conhece tecnicamente o assunto, a tarefa, mas não conhece e não tem como pesquisar quais são os controles de Cibersegurança que devem ser cumpridos.
f. Corpo Diretivo e Conselho da Administração não conhecem a Maturidade em Cibersegurança
A não existência de avaliações para a identificação da Maturidade em Cibersegurança e também a Maturidade do Comportamento Seguro dos Colaboradores, pode levar a situações em que o Corpo Diretivo e o Conselho de Administração “pensam” que tudo está ótimo. Não sabem que estão à beira de um abismo de caos na organização por causa da vulnerabilidades causadas pelo Comportamento Inseguro.
CONCLUSÃO
Implementar condições para o Comportamento Seguro Pessoal e o Comportamento Seguro Organizacional é obrigação do Corpo Diretivo e do Conselho de Administração. Simples. Os demais gestores vão cumprir e seguir estas determinações.
Porém é fundamental o tratamento da Transformação Digital e da Cultura em Cibersegurança. Devemos tratar esta questão de maneira profissional e considerando o conjunto de todos os elementos da organização. Os criminosos estudam, planejam, direcionam, priorizam e atacam. E se a organização não tiver preparada vai sofrer impactos negativos que vão comprometer os objetivos corporativos. Alem do que, infelizmente, perdas financeiras, operacionais, de reputação, de não conformidade.
Eu sou Edison Fontes, Cybersecurity Evangelist NTT DATA Europe & Latam e fico disponível para conversarmos sobre este aspecto da proteção da informação.
Edison Fontes, CISM, CISA, CRISC, Ms. [email protected]
Cybersecurity Evangelist NTT DATA Europe & Latam – Brasil
