Cibersegurança para empresas: o fator humano como falha de proteção

Da mesma forma que pessoas físicas têm suas identidades roubadas, as pessoas jurídicas também são vítimas. Você não precisa procurar muito para encontrar notícias sobre alguma grande violação de dados hoje em dia. Aqui na PSafe, já constatamos que 3 em cada 4 empresas já tiveram os seus dados vazados. Isso prova que as falhas de segurança digital afetam boa parte das empresas de qualquer tamanho no Brasil. 

É verdade que grandes empresas podem representar um grande retorno (ilícito) financeiro para cibercriminosos, mas são muito mais difíceis de atacar por causa do grande investimento feito em segurança digital. No entanto, as pequenas empresas podem representar um alvo mais fácil, já que nem sempre investem com o mesmo peso em cibersegurança. Por isso, uma das falhas de segurança mais preocupantes que vejo no mercado está na mente dos empreendedores: achar que este não é um problema que atinge a sua categoria, ou que aquela organização dificilmente será alvo de hackers um dia. 

As consequências dessas brechas de segurança para pequenas e médias empresas podem ser devastadoras, e isso vai muito além dos problemas de reputação de uma empresa atacada. Entre as ameaças mais perigosas temos exemplos de malwares, phishing (com mais de 150 milhões de vítimas feitas em 2021), ransomwares, invasões de rede, vazamentos de dados e roubos de identidade.

As fraudes financeiras (muitas vezes feitas usando dados da organização) e multas da LGPD são apenas mais alguns exemplos de prejuízos. Não é à toa que mais de US$ 6 trilhões são perdidos por ano para ciberataques.

O fator humano como vulnerabilidade

Entender como criminosos exploram vulnerabilidades é importante. Afinal de contas, o fator humano também é essencial quando o assunto é cibersegurança, principalmente em um cenário no qual quase metade das empresas do país adotaram o regime de home office.

Com mais pessoas trabalhando em outros locais fora do escritório, há uma chance maior de uso de dispositivos pessoais e conexões com redes desconhecidas. Nem sempre a tecnologia implementada terá as mesmas medidas e controles de segurança fornecidos pela infraestrutura de nível empresarial.

Por isso, as organizações devem pensar em seus funcionários como a primeira linha de defesa quando se trata de ameaças digitais. Você pode gastar todo o dinheiro que quiser em antivírus, detecção de vazamentos e outras tecnologias, mas tudo isso será quase inútil se você não se concentrar primeiro em educar sua equipe.

Entregar a segurança cibernética do seu negócio a uma pessoa que não é tecnicamente capacitada é uma receita para o desastre. Somente uma pessoa treinada estará ciente dos possíveis riscos e poderá mitigá-los.

Dentro deste contexto, também é preciso se lembrar dos colaboradores que já foram desligados. Muitas empresas não desativam seus dispositivos nem invalidam suas credenciais, e isso pode abrir as portas para uma invasão.

Apenas o antivírus não é mais suficiente

O crime organizado migrou para o ambiente digital. Apenas em janeiro deste ano, tivemos mais de dois milhões de bloqueios de golpes e links maliciosos detectados pela PSafe. O mundo mudou, mas o empresário brasileiro continua achando que tem antivírus e está bem. Eu digo para ele que é uma questão de “quando” e não “se” vai sofrer um ataque.

A maioria dos antivírus não oferece uma proteção capaz de acompanhar tantas mudanças e ataques tão sofisticados. Imagino que eles estão rodando tecnologia de segurança nas suas empresas na data da época em que a gente chegava em endereços usando mapas de papel. Empresas precisam ter uma ferramenta moderna, com inteligência artificial, com monitoramento de dark web, algo desse calibre.

Atualmente, um ataque de engenharia social baseado em inteligência artificial penetra a sua empresa em dez segundos. Em 15 minutos, no máximo, está dentro do seu sistema, se você não tiver defesa. E muitos gestores não entendem a gravidade disso.

Os perigos de adotar uma “estratégia reativa”

Uma das falhas de segurança que considero mais perigosa é o abandono da proteção preventiva e preditiva. Ou seja: justamente por achar que um ciberataque dificilmente acontecerá, as empresas resolvem adotar alguma medida de proteção apenas quando algum ataque já aconteceu. Esse tipo de resposta limita as suas opções a apenas controlar os danos. Logo, o ideal é que isso nunca aconteça.

Um detalhe que motiva esse erro está no fato de muitos líderes de negócios ainda tratarem a segurança digital como uma questão de TI (tecnologia da informação), quando, em sua essência, os ataques de segurança cibernética também são uma questão financeira. O custo médio de uma violação de dados é de cerca de US$ 4 milhões.

Na verdade, as empresas que realmente entendem a importância da cibersegurança ainda acham difícil acompanhar a velocidade do cibercrime, que se torna mais sofisticado a cada dia. É por isso que a prevenção é a maneira mais eficaz (e barata) de proteger pequenas e médias empresas. Em essência, a segurança digital deve fazer parte da sua cultura, porque requer pensamento estratégico para mitigação de riscos e ações táticas contínuas.

Estamos vivendo duas pandemias: a de Covid-19 e outra virtual, de ciberataques. O ano de 2020 foi um período no qual vimos uma aceleração digital e tecnológica de 10 anos acontecer em questão de meses. Infelizmente, os hackers e seus ataques também acompanharam esta evolução. O mundo mudou e os antivírus de anos atrás não valem mais hoje em dia.

Isso significa que a imagem do hacker como uma pessoa que planeja atacar um alvo específico ficou no passado. Hoje, temos o uso da inteligência artificial para atacar diversos sistemas ao mesmo tempo. Portanto, a melhor resposta é usar uma tecnologia ainda mais avançada para combater a complexidade dos ciberataques atuais.