Com a modernização dos ataques cibernéticos, não é mais possível que as organizações mantenham um bom nível de segurança da informação apenas com medidas tecnológicas. Atualmente, criminosos cibernéticos conseguem ultrapassar as camadas de proteção explorando o comportamento humano, por meio de técnicas de engenharia social.

Engenheiros sociais tiram proveito das vulnerabilidades humanas, persuadindo e manipulando o comportamento dos funcionários para obterem acesso à informações estratégicas da empresa. Dessa forma, o fator humano tem se tornado o elo mais fraco na segurança da informação. Mesmo assim ainda é negligenciado pela maioria das organizações, que não incluem as falhas humanas na gestão de segurança e nas análises de risco.

Pesquisas indicam que os funcionários têm sido fonte da maioria dos problemas com segurança e a principal arma dos criminosos ainda é o phishing, que utiliza mensagens falsas para atrair a atenção do usuário e convencê-lo a clicar em links suspeitos, levando-o a executar ações maliciosas sem que ele perceba. E esta distração do colaborador está diretamente relacionada com a falta de percepção de riscos, ocasionada pela falta de conscientização.

Como diminuir as vulnerabilidades

Para melhorar a cultura de segurança da informação dos colaboradores é essencial que a organização promova treinamentos e campanhas de conscientização. As ações devem ter por objetivo manter o colaborador alinhado com as práticas de segurança estipuladas pela empresa. Políticas de reconhecimento das boas práticas também ajudam a manter os colaboradores motivados e atuantes nas questões de segurança.

Além disso, para que a empresa possa conhecer melhor o comportamento dos funcionários, mantendo a integridade do colaborador e respeitando os limites éticos, a realização de testes que avaliam o nível de conscientização pode ser uma alternativa. No teste de intrusão é enviado um e-mail phishing para avaliar a reação dos colaboradores e se os treinamentos estão dando resultados. Dessa forma é possível incluir os resultados nas análises de risco e definir melhorias para diminuir as vulnerabilidades.

É preciso que as organizações tenham clareza sobre a importância desse tipo de ações, pois em muitos casos as vulnerabilidades não são encontradas nos sistemas, e sim nas pessoas. Portanto, o fator humano não pode ser esquecido e as ações de conscientização devem envolver todos os colaboradores, de todos os setores do negócio.