0 0 Os usuários finais recebem um mau rap com a segurança – por um bom motivo. Como um elo fraco estatístico documentado, eles criam 82% de todos os eventos de exposição evitáveis, de acordo com o “Relatório de Investigações de Violação de Dados de 2022” da Verizon. Dado que a causa mais comum de uma violação de dados é roubo ou credenciais fracas, é difícil argumentar o ponto.
Os seres humanos são indivíduos emocionais e propensos a erros. Eles também são o coração estatístico de vulnerabilidades, violações ou incidentes graves e fazem muito pouco para a conformidade organizacional geral. Como os seres humanos ainda são necessários para conduzir negócios, é imperativo que as organizações tomem medidas proativas para reduzir as chances de um evento. Mas que forma essa ação proativa deve tomar?
Tradicionalmente, os profissionais de tecnologia ávidos têm sido rápidos em tentar superar as fraquezas da natureza humana e o erro manual comprando uma ferramenta, apenas para descobrir que as lacunas e os riscos persistem. A tecnologia implementada na ausência de educação do usuário final e bons processos não aumentou sua segurança ou reduziu seu nível de ameaça.
A educação por si só também não é a resposta. Usuários finais capacitados que também estão lutando com cargas de trabalho irrealistas são propensos a erros que naturalmente aumentam os riscos.
A receita vencedora para o sucesso sustentável exige uma combinação de educação estratégica do usuário e automação tática de processos bem construídos.
Lacuna de informação
Seja por meio do uso do telefone, serviços bancários online, pagamento de contas, aquisição de bens e serviços, logística de alimentação ou viagens, educação (como pai, professor ou aluno) ou apenas como um consumidor comum com um cartão de crédito, a maioria dos seres humanos tem interação diária com a tecnologia. Assim, há um risco potencial diário de uma violação.
Os consumidores tomam algum nível de cuidado com suas informações pessoais, ou o que eles estão confortáveis em compartilhar para concluir suas transações diárias. Mas cada um tem um nível diferente de conforto em relação a esses dados (como número de CPF, data de nascimento, endereço ou número de cartão de crédito) com base no tipo de transação que deseja concluir. A maioria dos consumidores reconhece que pequenas transações (mantimentos, gás, uma refeição rápida) devem precisar de pouca ou nenhuma informação pessoal e aceitam que grandes compras (uma nova casa ou carro) podem exigir significativamente mais dados pessoais para serem executadas. A maioria dos consumidores está ciente dos riscos associados ao compartilhamento de dados pessoais e muitos tomam medidas proativas para se proteger.
Em contraste, os usuários organizacionais (funcionários e terceiros) parecem não ter uma compreensão fluente do que seu empregador está confortável em compartilhar fora da organização. Eles não conhecem os tipos de informações que são mais importantes para eles protegerem em nome da empresa (como projeções financeiras, propriedade intelectual e termos de contrato). Muitas vezes, eles não sabem quais informações seu empregador considera confidenciais ou confidenciais. Na ausência de uma classificação clara de dados e campanhas de educação do usuário, é provável que os usuários compartilhem informações confidenciais da empresa simplesmente porque não sabiam que eram confidenciais em primeiro lugar.
Os maus atores estão bem cientes dessa lacuna de conhecimento do usuário, procuram explorá-la regularmente e têm sucesso. Um exemplo comum: o e-mail de phishing que solicita informações confidenciais ou confidenciais da empresa. Sem entender as técnicas comuns de phishing e como detectá-las, um usuário poderia compartilhar informações que poderiam prejudicar seu empregador, em vez de identificar o risco potencial e buscar um nível secundário de revisão.
Use conhecimento e automação em conjunto para resultados duradouros
A automação é uma peça crítica do quebra-cabeça de segurança. No entanto, quando ele é implementado em cima de uma base instável (falta de compreensão do usuário e processos ruins), ele não aumentará a segurança e a conformidade nem reduzirá o risco.
A transformação digital e a automação nas áreas de gerenciamento de acesso, autorização e autenticação são necessidades fundamentais para a segurança sustentável. Mas as empresas devem combiná-los com educação proativa para ensinar à comunidade de usuários por que ou o que eles devem cuidar para proteger. Ferramentas sem conhecimento são um grande convite para burlar processos definidos. A divulgação dos valores fundamentais e dos critérios básicos de proteção melhora naturalmente a educação do usuário. Isso também resulta em um nível de conformidade mais alto em toda a população constituinte (funcionários, terceiros, afiliados e muito mais).
Armar as pessoas com o conhecimento do que proteger e por que elas devem protegê-lo aumenta seu desejo de cumprir. Ele reduz as violações de conformidade e cria uma cultura de suporte para iniciativas de segurança.
Quando uma organização mantém uma segurança sustentável, ela desfruta de maiores resultados financeiros e eficiência. É aconselhável recompensar os funcionários por meio de bônus financeiros ou incentivos por contribuírem com esses esforços e reduzirem violações ou atividades criminosas resultantes de eventos evitáveis. Quando os funcionários contribuem mais para os esforços de segurança, isso ajuda as organizações a identificar melhor onde eles realmente precisam de ajuda tecnológica em comparação com o que seus funcionários são totalmente capazes de lidar. Esse nível de clareza ajuda a facilitar a implantação de automação eficaz por meio de processos de segurança proativos, detecção avançada e medidas preventivas para evitar possíveis vulnerabilidades.
Comece criando uma solução simples para uma iniciativa complexa. Identifique os blocos de construção da confiança zero e defina como e com o que se preocupar quando. Em seguida, comunique-o, fale sobre ele e certifique-se de que os usuários o entendam. Estabelecer a responsabilidade do usuário final pela segurança, bem como as ferramentas e métodos de proteção para aprimorá-la, cria um ambiente de sucesso. Também começa a diminuir esses 82%.
FONTE: DARK READING
