Segurança

CISOs listam o erro humano como seu principal risco de cibersegurança

Jovem mulher trabalhando em escritório moderno

Autores

Jennifer Gregory

Cybersecurity Writer

Com a cibersegurança, o foco geralmente está na tecnologia — especificamente, como os cibercriminosos a usam para realizar ataques e as ferramentas que as organizações podem usar para manter seus sistemas e dados seguros. No entanto, isso ignora o elemento mais importante de risco de cibersegurança: o erro humano.

Risco humano na cibersegurança

O relatório Voice of the CISO de 2024 da Proofpoint descobriu que três em cada quatro (74%) diretores de segurança da informação (diretores de segurança da informação) disseram que o erro humano era o principal risco de cibersegurança. Isso revela um crescimento significativo em relação aos 60% de CISOs que expressavam esse sentimento no ano passado. O estudo também encontrou uma lacuna fundamental entre os CISOs e a diretoria. Os membros do conselho eram menos propensos (63%) a apontar para erros humanos do que os CISOs, o que mostra que os CISOs devem se concentrar em educar a liderança, bem como os funcionários.

Várias das principais causas para eventos de perda de dados nos entrevistados estavam relacionadas diretamente aos funcionários. A principal resposta (42%) foi descuido de agente interno negligente, como uso indevido de dados por parte do funcionário. Outros motivos incluíram um agente interno malicioso ou criminoso (36%), credenciais de funcionários roubadas (33%) e dispositivos perdidos ou roubados (28%).

O índice de ameaças da IBM de 2024 corrobora essa descoberta, indicando que 30% dos ataques começam com phishing. No entanto, osataques de phishing diminuíram em relação a 2022, tanto em volume quanto como vetor de ataque inicial. O relatório aponta a adoção contínua e reavaliação de técnicas e estratégias de mitigação de phishing como uma das razões para a redução.

Embora um ser humano possa de fato ter cometido o erro que causou a violação, isso não é necessariamente culpa do indivíduo, exceto no caso de um criminoso agente interno. As organizações devem adotar uma abordagem proativa em relação à cibersegurança, o que inclui oferecer treinamento para que os funcionários possam aprender práticas seguras e, ao mesmo tempo, estabelecer processos que reduzam os riscos.

Redução de erros de funcionários na cibersegurança

Reduzir o risco de cibersegurança humana não é simples. Você não pode iniciar um único programa ou treinamento que faça correções no problema. Em vez disso, as organizações devem adotar uma abordagem holística que crie uma cultura de cibersegurança e capacite cada funcionário a pensar na cibersegurança como seu trabalho.

1. Utilize ferramentas de IA para superar erros humanos

Como as ferramentas de IA podem prever o que um humano provavelmente fará, elas podem ser especialmente eficazes na proteção contra riscos humanos na cibersegurança. O relatório da Proofpoint descobriu que 87% dos CISOs globais estão procurando implementar recursos impulsionados por IA para ajudar a proteger contra erros humanos e ameaças cibernéticas avançadas centradas no humano.

2. Forneça treinamento abrangente e contínuo dos funcionários

Embora muitas empresas ofereçam treinamento, muitas vezes é um treinamento do tipo pronto que realmente não muda o comportamento ou mantém a cibersegurança em primeiro lugar. Ao elaborar um programa de treinamento, adote uma abordagem holística e considere quais funcionários precisam de qual tipo de treinamento.

Comece analisando incidentes anteriores para determinar quais tópicos são mais importantes, como funcionários clicando repetidamente em tentativas de phishing no passado recente. Em vez de treinamento anual, as empresas devem considerar minimódulos mensais regulares para manter os tópicos em mente. Além disso, inclua o treinamento em cibersegurança como parte da integração de novos funcionários para garantir que todos os funcionários iniciem sua carreira na sua empresa com as mesmas informações.

3. Crie uma cultura de cibersegurança

É fácil para os funcionários sentirem que a cibersegurança é trabalho de outra pessoa. Porém, a redução do risco humano começa com a mudança dessa impressão e com que cada funcionário se sinta responsável pela cibersegurança. Embora o treinamento seja um componente-chave dessa mudança, ele também envolve manter a cibersegurança como prioridade em toda a empresa. Uma cultura de cibersegurança começa do topo, com cada líder falando sobre cibersegurança e enfatizando sua importância.

Priorizando o risco humano na cibersegurança

Cibersegurança começa e termina com os humanos: humanos que criam os ataques e humanos com a capacidade de interromper os ataques. Ao focar no elemento humano na cibersegurança, sua organização pode reduzir significativamente o risco. No entanto, a mudança não acontece com uma única sessão de treinamento ou mesmo ao longo de alguns meses. As organizações devem ver essa estratégia como uma abordagem de longo prazo com o objetivo de fazer com que cada funcionário perceba que ele tem o poder de fazer a diferença na cibersegurança da organização.
