7 maneiras pelas quais o erro humano pode causar violações de segurança cibernética

De acordo com um extenso relatório de segurança cibernética publicado pela Verizon em 2021, “85% das violações de dados são causadas por erros humanos”. Em segurança cibernética e proteção de dados, o erro humano é definido como as ações não intencionais dos funcionários que podem causar violações de segurança que, na maioria das vezes, levam a vazamentos de dados.

Um único erro pode ser fatal para as empresas e custar milhões de dólares. Por exemplo, a Target teve uma grande violação de dados em 2013 que rendeu à empresa US$ 90 milhões. Após o incidente, a reputação da empresa foi prejudicada e demorou muito para reconquistar a confiança dos clientes.

A empresa poderia prever que uma violação de segurança poderia acontecer e evitá-la? Vamos discutir os erros humanos mais comuns e como evitá-los.

7 erros humanos críticos que causam violações de segurança cibernética

A natureza não intencional dos erros humanos não significa que sejam inevitáveis. No entanto, as empresas podem identificar as vulnerabilidades em suas políticas de segurança e tomar medidas para mitigar os riscos. Aqui estão os sete erros humanos mais comuns que podem causar violações de segurança.

Recomendado para você: 17 melhores dicas de segurança cibernética para se manter protegido online em 2022.

1. Higiene da Senha

Uma pesquisa de 2021 conduzida pela NordPass em 50 países revela que a combinação “123456” é usada para fins de login por 130 milhões de pessoas. A segunda e a terceira senhas mais usadas são “123456789” e “qwerty” usadas por 46 milhões e 22,3 milhões de pessoas, respectivamente. Um hacker habilidoso poderia quebrar senhas tão fracas em menos de um segundo.

Além de definir senhas ruins, a maioria das pessoas usa a mesma combinação para seus e-mails pessoais e corporativos, contas de mídia social e outros serviços. Algumas pessoas não mudam suas senhas há anos e até as compartilham com colegas ou escrevem em notas adesivas e as colam em seus monitores. Essa atitude descuidada em relação às senhas causa 61% das violações de segurança, diz a Verizon.

2. Controle de acesso a dados inadequado

Atribuir direitos de acesso inadequados a alguém é outro erro humano que pode causar falhas de segurança. Em algumas organizações, pessoas incompetentes têm permissão para acessar dados confidenciais. No entanto, na maioria dos casos, esses amplos direitos de acesso são concedidos aos funcionários por padrão, a menos que haja uma solicitação específica para restringi-los.

Aqui estão os erros mais comuns causados ​​por controle de acesso inadequado:

• Excluir dados confidenciais acidental ou intencionalmente.
• Fazer configurações do sistema que podem causar violações e vazamentos de dados.
• Realizar alterações não autorizadas no sistema.
• Enviar e-mails com dados valiosos para os destinatários errados.

3. Spyware

Enquanto os funcionários estão online procurando informações para realizar a tarefa em questão, eles podem baixar arquivos de fontes não autorizadas, clicar em links desconhecidos ou clicar em “sim” em pop-ups aleatórios. Tal ação pode colocar spyware em seu dispositivo sem o seu conhecimento. Você nem suspeitará que, enquanto faz seu trabalho diário, ele registra suas atividades online e obtém suas credenciais de login e informações pessoais. Em seguida, esse malware malicioso transfere as informações coletadas para terceiros que as usam sem o seu consentimento.

A pior parte é que o spyware pode se espalhar de um computador e infectar toda a rede de uma empresa. Se não for detectado a tempo, causa prejuízos multimilionários ao negócio.

4. Falta de conscientização sobre segurança cibernética

Na maioria dos casos, erros humanos que causam quebras de segurança são cometidos acidentalmente ou por falta de conhecimento. Infelizmente, algumas organizações estão tão concentradas em obter resultados que ignoram a necessidade de educar seus funcionários sobre segurança cibernética. Aqui estão os vários erros comuns que as pessoas podem cometer devido à falta de conhecimento:

• Baixar software de fontes suspeitas e autorizadas.
• Conectar-se a Wi-Fi público em restaurantes ou hotéis sem criptografia VPN.
• Dispositivos de conexão, como um armazenamento em USD de origem desconhecida.

5. E-mails de phishing

De acordo com uma investigação realizada pela Verizon em 2020, 20% das violações de segurança cibernética ocorrem devido a e-mails de phishing. Clicar nos links maliciosos dentro desses e-mails é um dos erros humanos mais caros. Alegadamente, o custo médio de um único registro roubado é de $ 133. Imagine quanto dano pode causar a uma organização se toda a rede for infectada, exceto o computador do usuário final!

6. Segurança de software inadequada

Quando os funcionários executam tarefas diárias repetitivas, eles se tornam descuidados e ignoram os procedimentos de segurança ao longo do tempo. Eles acham que se seu trabalho foi perfeito ontem, nada poderia ameaçá-los hoje. Essa atitude descuidada com os procedimentos de segurança pode, às vezes, comprometer o sistema de segurança de empresas inteiras. Aqui estão os procedimentos de segurança que os funcionários ignoram:

• Atualizações de software: a maioria dos funcionários ignora as atualizações de software porque demoram muito ou aparecem nos horários mais inconvenientes.
• Às vezes, os funcionários podem desativar antivírus ou recursos de segurança porque interferem em seu trabalho. É perigoso deixar o computador sem proteção por um único minuto enquanto estiver usando ativamente a Internet.

7. Correções atrasadas

O patch atrasado está intimamente ligado ao ponto anterior, mas se concentra mais nas atualizações de software. Os cibercriminosos estão constantemente procurando vulnerabilidades na segurança de software, mas os desenvolvedores de software também o fazem. Depois de descobrir essa vulnerabilidade, eles imediatamente a corrigem e enviam patches conhecidos como atualizações de software. Aqueles que instalam as atualizações no prazo protegem seus dispositivos contra violações de segurança, enquanto cada minuto de atraso aumenta o risco de serem comprometidos.

O caso da agência de relatórios de crédito Equifax é um excelente exemplo de por que as atualizações de software não devem ser ignoradas. Em 2017, o software deles apresentava uma vulnerabilidade de segurança. A empresa sabia disso, mas atrasou o processo de correção. Como resultado, seu sistema foi invadido e as informações pessoais de mais de 140 milhões de clientes americanos e 8.000 clientes canadenses foram comprometidas.

Você pode gostar de: Documentos e protocolos que sua empresa precisa para segurança cibernética.

Como mitigar os riscos de erros humanos e prevenir violações de segurança cibernética

Depois que as empresas identificam as lacunas em suas políticas de segurança, elas podem tomar medidas preventivas. Errar é humano; por isso é impossível eliminar totalmente os riscos, mas é possível minimizá-los. Confira as sete medidas a seguir.

1. Melhore o gerenciamento de senhas

Como a maior parte das violações de segurança cibernética é causada por falta de higiene de senha, as empresas devem prestar atenção especial ao gerenciamento de senhas. As organizações devem definir uma política clara contra o uso de senhas simples ou definir uma combinação para todas as suas contas. As ferramentas de geração de senhas podem ajudar a criar senhas fortes e confiáveis ​​compostas por letras, números e símbolos.

Além disso, também deve ser uma parte obrigatória da política ativar a autenticação de dois fatores em todas as contas corporativas. Isso aumentará a proteção de suas contas e as tornará invioláveis ​​por hackers.

2. Controle o acesso a dados confidenciais

Conceder acesso ilimitado a dados confidenciais a todos os funcionários é um grande erro das empresas. Por padrão, o acesso deve ser negado a todos os funcionários. Em seguida, os gerentes devem atribuir permissões em trânsito sempre que os funcionários precisarem de acesso aos dados para realizar seu trabalho. A maioria dos sistemas ainda tem diferentes níveis de permissão de usuário, dependendo de suas funções. Por exemplo, os especialistas juniores só podem visualizar documentos enquanto os gerentes têm o direito de editá-los ou excluí-los. Essa divisão dos direitos do usuário protege os dados confidenciais de serem modificados ou excluídos acidentalmente.

3. Instale o software antivírus e anti-spyware

Vírus e spyware podem causar danos destrutivos aos seus dispositivos e à rede. Portanto, é mais sensato estar protegido do que lutar contra suas consequências devastadoras. A melhor proteção contra vírus e spyware é o software antivírus e anti-spyware. McAfee Total Protection, Norton 360 e Bitdefender Total Security são as três principais soluções anti-spyware que vale a pena usar. Este software fornece VPN para uso criptografado da Internet e um Firewall para proteger o dispositivo contra ameaças externas.

4. Eduque os funcionários sobre segurança cibernética

A maioria dos erros humanos são cometidos devido à falta de conhecimento sobre segurança cibernética. E a melhor maneira de mitigar os riscos de tais erros é educar e aumentar a conscientização de seus funcionários sobre a segurança da informação. As empresas devem realizar treinamentos frequentes e ensinar seus funcionários sobre ataques cibernéticos, seus tipos e procedimentos de proteção. Eles devem saber diferenciar e-mails de phishing dos autênticos, como denunciá-los e o que fazer em caso de detecção de brechas de segurança. Se sua empresa possui uma política de segurança específica, certifique-se de que seus funcionários a conheçam.

5. Filtre os e-mails recebidos

Uma forma de se proteger contra e-mails de phishing é sinalizar mensagens recebidas de fora da sua empresa. Mas não é uma solução 100%, pois alguns e-mails de spam podem imitar o domínio de e-mail da sua empresa. Portanto, usar um software de segurança que detecta e-mails suspeitos é outra opção.

Não importa como você decida lutar contra o phishing, estabeleça uma regra geral de nunca baixar um arquivo ou clicar em um link dentro de e-mails suspeitos.

6. Atualize sua política de segurança

Sua empresa não deve confiar na atitude conscienciosa dos funcionários em seguir os procedimentos de segurança cibernética. Você deve ter uma política de segurança corporativa claramente explicada que descreva como lidar com dados confidenciais, como e quando atualizar senhas e outras regras de segurança. No entanto, este guia não deve estar desatualizado. Certifique-se de atualizá-lo regularmente e notifique seus funcionários para se familiarizarem com os novos procedimentos de segurança.

Você também pode gostar: Como o aprendizado de máquina é usado na segurança cibernética?

7. Atualize o software regularmente

Os desenvolvedores de software lançam patches porque descobriram vulnerabilidades e querem ajudá-lo a se proteger contra elas. Portanto, ignorar e ignorar as atualizações de software aumenta o risco de comprometimento do seu dispositivo. Portanto, é recomendável instalar os patches imediatamente após eles serem disponibilizados.