Os 5 principais erros humanos que podem levar a uma violação de dados

Está se tornando um fato amplamente aceito que o erro humano é a causa raiz da maioria das violações de dados. No entanto, o problema com esta afirmação é que ela levanta mais perguntas do que respostas. Afinal, o erro humano é a causa raiz da maioria dos problemas.

Para esclarecer o que isso significa em relação à segurança cibernética, abaixo estão os cinco exemplos mais citados de comportamento errôneo que podem comprometer a integridade da nossa postura de segurança.

1. Vítima de golpes de phishing

De acordo com o Relatório sobre o estado do phishing de 2019, 83% dos entrevistados sofreram ataques de phishing em 2018, um aumento em relação aos 76% em 2017. Dado que os golpes de phishing dependem de funcionários ingênuos/desavisados para terem sucesso, educar os funcionários sobre como identificar tais golpes seria um lugar sensato para começar. Também é aconselhável enviar e-mails simulados de phishing aos funcionários, a fim de avaliar a eficácia do programa de treinamento.

Independentemente da forma como treinamos os nossos funcionários, erros acontecem e, por isso, devemos também garantir que estamos a utilizar as ferramentas e tecnologias mais recentes, como software antivírus/filtragem de e-mail para ajudar a capturar certas eventualidades.

2. Práticas inadequadas de senha

De acordo com uma pesquisa recente, 59% das pessoas usam a mesma senha em todos os lugares, o que significa que se suas credenciais forem comprometidas, o invasor poderá usá-las para acessar outras contas e, portanto, mais dados. Alguns usuários ainda utilizam senhas fáceis de adivinhar, como “abc123”, “senha”, etc.

Muitos não conseguem armazenar suas senhas de maneira segura e alguns até as compartilham com outros funcionários. Para ajudar a combater tais práticas, uma política de senhas fortes deve ser aplicada, as senhas devem ser alternadas regularmente (embora não com muita regularidade) e os funcionários devem ser incentivados a usar um gerenciador de senhas como LastPass, Keeper ou 1Password.

Como sempre, deve ser fornecido treinamento a todos os funcionários para garantir que eles entendam as implicações de não manterem suas senhas seguras e, possivelmente, incluir dicas de segurança quando fizerem login.

3. Permitir acesso não autorizado a dispositivos fornecidos pela empresa

De acordo com o Relatório de Risco do Usuário de 2018, 55% dos funcionários permitem que amigos e familiares acessem os dispositivos fornecidos pela empresa em casa. Embora seja improvável que seus amigos e familiares bisbilhotem dados confidenciais, eles podem instalar inadvertidamente algum malware.

As empresas precisarão garantir que possuem uma política em vigor que defina como seus dispositivos podem ser usados e que essa política foi efetivamente comunicada a todos os funcionários. Além de manter uma lista de dispositivos permitidos, eles precisarão garantir que todos os dispositivos tenham os controles de segurança necessários, que podem incluir bloqueios de tela, 2FA, lista negra de aplicativos e soluções de limpeza remota. Eles precisarão garantir que todos os dados confidenciais sejam criptografados automaticamente, tanto em repouso quanto em trânsito.

4. Falha em limitar o acesso a contas privilegiadas

É imperativo que todas as organizações apliquem o “princípio do menor privilégio” para garantir que as contas dos usuários recebam os direitos de acesso mais apropriados. Caso um usuário necessite de mais privilégios, eles só deverão ser concedidos enquanto o usuário precisar deles para realizar seu trabalho. Esses privilégios precisarão ser monitorados em tempo real para garantir que quaisquer alterações suspeitas sejam tratadas em tempo hábil.

5. Envio de e-mails para o destinatário errado

De acordo com o Relatório de Violação de Dados da Verizon de 2018, a entrega incorreta de informações confidenciais é a quarta ação mais frequente que resulta em violação de dados e é responsável por 62% das violações de dados na área da saúde. As empresas devem criptografar todos os dados confidenciais enviados por e-mail. Da mesma forma, seria uma boa ideia implementar uma solução de prevenção contra perda de dados (DLP) para bloquear/colocar em quarentena automaticamente dados confidenciais não criptografados à medida que eles saem da rede. Também pode valer a pena introduzir uma caixa pop-up para lembrar os usuários de verificar se o endereço do remetente está correto.