0 0 Um em cada quatro funcionários perdeu o emprego nos últimos 12 meses após cometer um erro que comprometeu a segurança de sua empresa, de acordo com um relatório da empresa de segurança de e-mail Tessian.
Enquanto o número de funcionários que caíram em ataques de phishing só aumentou 1% nos últimos 12 meses, as pessoas eram muito mais propensas a cair para ataques de phishing mais avançados do que em 2020.
O estudo constatou que mais da metade dos funcionários (52%) disseram que caíram por um e-mail de phishing porque o atacante se passou por um executivo sênior em sua empresa, contra 41% relatados em 2020.
As pessoas também eram suscetíveis a ataques de phishing por SMS (smishing), com um terço dos entrevistados sendo enganados por um pedido de smishing nos últimos 12 meses.
O phishing é um problema que cresce a cada trimestre tanto para consumidores quanto para usuários corporativos, com os atacantes direcionando principalmente indivíduos através de canais móveis devido ao número de maneiras que eles podem chegar a um indivíduo.
SMS, iMessage, e-mail, redes sociais, aplicativos de mensagens de terceiros, jogos e até aplicativos de namoro têm funcionalidade de mensagens que os atacantes usam para projetar socialmente alvos dentro do contexto do aplicativo que estão usando.
Josh Yavor, CISO da Tessian, disse que a segurança cibernética raramente é top-of-mind para funcionários que já têm listas de tarefas esmagadoras e prazos apertados para cumprir.
“Portanto, considere como a tecnologia pode automaticamente levar as pessoas a pensar em ameaças e empurrá-las para decisões de segurança seguras”, disse ele. “Esse tipo de intervenção em tempo real coloca a segurança na vanguarda dos funcionários e remedia ameaças causadas por erro humano.”
O Impacto do Estresse no Erro Humano
Yavor acrescentou que os líderes de negócios e de TI precisam considerar como o estresse impacta os comportamentos de segurança cibernética, especialmente quando os funcionários trabalham de forma remota ou híbrida.
O relatório de Tessian revelou, por exemplo, que metade dos entrevistados enviou e-mails para a pessoa errada porque estavam sob pressão para enviar o e-mail rapidamente (um aumento de 47% a partir de 2020), o que foi seguido de perto por distração e fadiga.
“Incentive os funcionários a fazer intervalos regulares entre reuniões virtuais ou introduzir dias de reunião sem vídeo para ajudar a evitar a sobrecarga cognitiva causada pela fadiga do Zoom“, disse ele.
Rich Quattrocchi, vice-presidente de transformação digital da Mutare, disse que o problema é ainda mais agravado pelo grande número de aplicativos de colaboração em uso para comunicação interna e externa.
“Sua empresa pode usar o Cisco WebEx internamente para videoconferência e tê-lo completamente bloqueado, mas uma vez que você precisa fazer ou receber uma chamada externa de um aplicativo diferente que não seja sancionado pela empresa, a superfície de ameaça aumenta”, disse ele.
Quattrocchi disse que as empresas também devem incluir o vishing em seus testes de penetração de segurança, controles técnicos automatizados de segurança e em seu treinamento de conscientização de segurança para encontrar e tapar vulnerabilidades antes que eventos de perda aconteçam.
“Capacidade de ameaça, probabilidade de ação e frequência de contato estão em constante evolução”, acrescentou. “É um jogo de whack-a-mole. Assim que um golpe ou vulnerabilidade é descoberto e revelado ou corrigido, uma nova ameaça chega.”
Consequências mais duras, diminuição da notificação
Com consequências mais duras — como ser demitido — no local, a pesquisa descobriu que menos funcionários estão relatando seus erros à TI. Quase um em cada quatro (21%) disse não relatar incidentes de segurança contra 16% em 2020, resultando em equipes de segurança tendo menos visibilidade sobre ameaças à organização.
Yavor disse que outra parte importante da construção de uma cultura de segurança mais forte exige que as empresas se afastem das táticas de susto e medo ao fornecer treinamento de conscientização sobre segurança.
“Os funcionários são muito mais propensos a admitir seus erros ou fazer perguntas se fazem parte de um ambiente transparente e sem vergonha”, explicou. “Em vez de assustar os funcionários na conformidade, crie uma experiência positiva de segurança que incentive os funcionários a se envolverem com segurança, ajudando a consolidar uma mentalidade de parceria entre equipes de segurança e funcionários.”
Hank Schless, gerente sênior de soluções de segurança da Lookout, uma empresa de segurança de ponta a nuvem, disse que as mudanças na forma como trabalhamos expandiram o cenário de risco para cada organização, à medida que os funcionários usam uma mistura de dispositivos pessoais ou não gerenciados e redes para acessar dados confidenciais.
“Sem as soluções certas em vigor, as organizações estão deixando seus funcionários expostos a ameaças avançadas que se aproveitam da falta de proteção que os funcionários têm em dispositivos pessoais e redes”, disse ele. “O acesso a dados baseados em contexto é a melhor maneira de as organizações instituirem confiança zero no ambiente de trabalho híbrido.”
Entender pistas como localização, tipo de dispositivo e postura de risco do usuário pode ser crucial ao tentar identificar contas comprometidas sendo aproveitadas por atores de ameaças.
Schless disse que o treinamento de conscientização sobre segurança é algo que as empresas vêm realizando há anos, mas acrescentou que precisa ser modernizado para ajudar os funcionários a entender os riscos no mundo atual.
“Ser capaz de acessar dados de qualquer dispositivo ou local é incrivelmente conveniente e aumenta a produtividade, mas também introduz um risco aumentado de perda de dados”, disse ele. “Os funcionários estão constantemente compartilhando dados e podem nem saber quando o fazem de uma maneira que viole padrões internos ou externos de conformidade de dados.”
Do ponto de vista dele, conscientizar seus funcionários sobre o que se qualifica como dados confidenciais, quais são os riscos de acessar esses dados a partir de dispositivos pessoais e as táticas que os atacantes usam para colocá-los em suas mãos é um primeiro punhado crítico de passos a serem dados.
“As próprias empresas também têm que reconhecer que os funcionários vão cometer erros, independentemente do treinamento que fazem, por isso é fundamental modernizar as práticas de segurança de dados também”, disse ele.
FONTE: SECURITY BOULEVARD
