Quando falamos de Segurança da Informação sempre nos vem à mente a proteção dos sistemas corporativos com as mais diversas soluções e tecnologias, mas comumente uma variável deste cenário não recebe a mesma (e importante) atenção: o fator humano.
A adoção de um sistema de proteção de informações corporativas deve abranger não apenas as áreas técnicas, compliance e governança, pois se a ideia é proteger toda a organização deve-se envolver as gestões de RH e Treinamentos para prepararem adequadamente os funcionários a trabalharem com os novos recursos e assim atingirem os objetivos iniciais: proteger as informações e recursos da empresa. Na grande maioria das organizações, o conceito de Segurança da Informação é visto com receio pelos colaboradores, com a permanente sensação de que se cometer um incidente de segurança eles serão apenas punidos e nada mais.
Um caso muito comum hoje em dia são os ataques direcionados à determinados setores da empresa, usando técnicas de engenharia social e phishing, onde por exemplo, um usuário do departamento de Compras pode abrir um anexo de e-mail de um parceiro conhecido e instalar um malware no computador ou direcioná-lo para um site falso que pode capturar dados sigilosos.
O maior problema de uma situação como a citada acima é que dificilmente este usuário reportará o incidente por temer punições de sua gerência ou do próprio departamento de recursos humanos da empresa. É preciso ficar claro que justamente nestes incidentes, o papel do colaborador é fundamental para a identificação de pontos de melhoria para a segurança corporativa. Os processos de educação sobre as normas e condutas de segurança ainda não preparam o colaborador a lidar com estas ocorrências.
Se o elo mais fraco e propenso a falhas ainda é o fator humano, devemos direcionar todos os esforços e recursos em treinamentos periódicos? Sim e Não. Os investimentos devem ser contínuos e consistentes, tanto em inovações tecnológicas quanto em conscientização dos colaboradores e sua importância no funcionamento da organização. Se um dos lados falhar, todo o esforço irá por água abaixo.
Pessoas são naturalmente suscetíveis a variações de humor, comportamento e intenções em suas ações. Já os avançados sistemas de proteção em Endpoints atualmente disponíveis no mercado, além de não sofrerem estas variações, disponibilizam níveis de segurança extremamente altos e eficazes, com análises em tempo real de ameaças, emulação de arquivos em áreas seguras (sandboxes) e self-learning de padrões de uso dos colaboradores.
Ricardo Hoster é Analista de Segurança da Security4IT
You must be logged in to post a comment.
