A vulnerabilidade das empresas diante de ataques cibernéticos vem aumentando a cada dia. E o grande ponto é que não adianta uma política de segurança online reforçada se os funcionários não têm conhecimento das melhores práticas. Afinal, em muitos casos, são eles o ponto de entrada para que cibercriminosos realizem invasões na infraestrutura corporativa. Para se ter uma ideia, de acordo uma de nossas pesquisas, cerca de 46% dos incidentes nas empresas são causados pelos próprios funcionários. Por exemplo, um contador descuidado pode facilmente abrir um arquivo malicioso disfarçado como uma das faturas de um dos inúmeros fornecedores da empresa e, assim, desligar toda a infraestrutura da organização, tornando-se um cúmplice involuntário dos invasores.

Ou seja, basta que alguém dentro da organização não tenha conhecimento ou não se atente às questões de segurança para que um dispositivo infectado seja facilmente conectado à rede – ocasionando possíveis desastres. Em casos de ataques direcionados, o fator humano, que pode ser representado pelo descuido dos funcionários, é uma das maiores brechas na blindagem da cibersegurança corporativa. Outra cena comum dentro das empresas é a utilização de dispositivos USB, seja como brinde ou para uso interno. Por serem comuns, os cibercriminosos os têm utilizado constantemente como uma forma efetiva e persistente de distribuição de uma série de ameaças, incluindo malware, que permanecem incrivelmente ativas ao longo dos anos.

Porém, vimos também que organizações do mundo inteiro já estão alertas para o problema das vulnerabilidades em suas empresas causadas por funcionários: cerca de 52% das companhias pesquisadas admitem que suas equipes são o elo mais fraco em sua segurança de TI. A necessidade de implementar medidas voltadas para os funcionários se torna cada vez mais evidente, já que 35% das empresas buscam melhorar a segurança por meio do treinamento das equipes – sendo esse o segundo método mais popular de defesa cibernética, atrás apenas da implementação de software mais sofisticado (43%).

Mas a grande questão é: o que ainda dificulta o sucesso da implementação de controles preventivos que minimizem os riscos e as brechas na segurança e que façam com que todos respeitem e entendam as políticas de segurança? Acredito que o grande ponto seja o fato de que diferentes áreas de gerenciamento enxergam a segurança online a partir de perspectivas e prioridades distintas. Ou seja, para alguns, esse tema é sinônimo de  despesa e, por isso, procuram por soluções mais baratas com a ilusão de que o problema será resolvido; para outros, a segurança online é importante e merece uma atenção a mais; e, por fim, existem aqueles que não têm muito conhecimento dos riscos que podem ser minimizados e até evitados com boas práticas de segurança.

Esse entendimento é essencial porque segurança é uma equação que une tanto a tecnologia quanto pessoas. Daí a importância da automação dos processos manuais de segurança. São iniciativas que podem não contribuir diretamente para o retorno sobre o investimento (ROI) imediatamente, mas, ao longo do tempo, a automatização da política de segurança minimiza os gastos, preservando os ativos da empresa e garantindo sua adequação e conformidade às diversas leis e regulamentações.

As empresas precisam analisar dados e tomarem decisões estratégicas com base em informações incertas e recursos limitados, pois precisam equilibrar as prioridades de engenharia, negócios e segurança em relação ao custo de um ataque cibernético realista. Pensando nisso, criamos uma maneira eficaz de conscientizar a segurança cibernética entre os principais gerentes e tomadores de decisão. Essa prática coloca equipes de segurança de TI de corporações e departamentos governamentais em um simulador de ambiente comercial que tem como objetivo mostrar uma série de ameaças cibernéticas inesperadas.

A simulação faz uso da gamificação para conscientizar os funcionários em todos os níveis da estrutura organizacional, gerenciados por equipes de segurança e RH – já que cada decisão tomada pelos participantes da experiência muda o cenário de ameaças e o quanto de lucro cada companhia gera – ou perde – naquela situação. Se isso parecer viável, melhor, uma vez que cada um dos cenários é baseado em eventos da vida real. É por isso que a grande tendência em termos de política de segurança é a prática de se exigir – como parte da descrição do cargo de cada funcionário – o compromisso com a manutenção da segurança de dados, processos e políticas da empresa para a qual trabalha.

Não há dúvidas de que é um grande desafio transformar os funcionários de uma empresa em defensores reais das normas de segurança e que diferentes formas estão surgindo para garantir que todos estejam cientes e dispostos a cumprir as regras estabelecidas, uma vez que a cibersegurança não está somente atrelada ao âmbito da tecnologia, mas também faz parte da cultura e do treinamento da organização, fazendo-se necessário o envolvimento de todas as áreas e cargos dentro da empresa sobre essa questão.