O setor de transportes está entre os dez principais setores que sofrem violação de dados. Como você pode imaginar, isso é de extraordinária preocupação e foco na Werner Enterprises, uma das maiores empresas de transporte e logística da América do Norte. Na Werner EDGE, o braço de inovação que lidero, nossa responsabilidade é manter as mercadorias em movimento por meio de redes sofisticadas e seguras, incluindo uma abordagem de segurança cibernética que deve se estender à proteção de nossa grande força de trabalho.
Para isso, precisamos ficar atentos à nossa abordagem em relação ao phishing, que é a causa principal da maioria das violações. Na verdade, o "elemento humano" ainda é um fator em 3 de cada 4 violações, apesar de as empresas aumentarem o treinamento em segurança cibernética. Com um único clique em um link malicioso, um funcionário pode colocar em risco toda a empresa. O FBI diz (por exemplo) que o comprometimento de e-mails comerciais custou mais de US$ 50 bilhões até o momento. Os malfeitores estão usando métodos cada vez mais sofisticados para se infiltrar nas empresas, e a IA está ajudando-os a acelerar a velocidade e o escopo de seus ataques.
Em outras palavras: o problema de phishing não está desaparecendo. Não importa o quanto a arquitetura e a segurança da sua rede sejam fortes, sempre haverá um elo fraco, que geralmente é um único indivíduo. Um lapso momentâneo pode significar um desastre para toda a organização. Portanto, está cada vez mais claro que precisamos ajustar coletivamente nosso treinamento de conscientização de segurança para reforçar essa linha de defesa (humana).
No nível pessoal, a segurança cibernética consiste em adotar alguns hábitos simples. Assim como aprender a olhar para os dois lados ao atravessar a rua, precisa se tornar uma segunda natureza ler atentamente um e-mail e verificar os endereços de e-mail antes de responder ou clicar em um link. Na Werner, normalmente realizamos sete ou oito sessões de treinamento de segurança por ano, incluindo uma sessão de treinamento anual obrigatória com duração de 45 a 60 minutos. É relativamente simples, direta e cobre o básico. Também realizamos atualizações trimestrais e treinamentos ad hoc com duração de 5 a 7 minutos para manter todos atualizados, especialmente quando surgem novas ameaças. Elas também são obrigatórias.
O treinamento de segurança durante todo o ano é uma prática recomendada por vários motivos:
Do ponto de vista da conformidade, as seguradoras exigem treinamento contínuo.
O cenário de ameaças está em constante mudança. Os malfeitores estão constantemente encontrando novas maneiras de passar despercebidos até mesmo pelos usuários mais vigilantes, e a equipe precisa conhecer as táticas mais recentes a serem observadas.
É da natureza humana que as pessoas tendam a baixar a guarda com o tempo. O treinamento serve como um lembrete para levar a sério o phishing e outras ameaças.
Embora tenhamos incorporado muitas práticas recomendadas em nossa prática de treinamento, também identificamos algumas coisas que não funcionam bem.
A estratégia menos bem-sucedida foi o treinamento corretivo. Quando um funcionário clica em um link de phishing conhecido, podemos bloquear as comunicações de saída e identificar quem respondeu ao conteúdo ofensivo. Em seguida, damos à pessoa que caiu no golpe uma rápida atualização sobre o que não deve fazer.
No entanto, notamos que, em questão de semanas, a mesma pessoa cairia em outra tentativa de phishing. Calculo que quase 70% das pessoas que receberam treinamento corretivo ainda foram reprovadas em testes de simulação de phishing posteriormente.
Conversar com os infratores reincidentes me deu uma nova perspectiva: algumas pessoas sentiram que estavam sendo punidas com o treinamento extra; para outras, o treinamento as deixou mais nervosas para realizar as tarefas básicas necessárias para seus trabalhos, como ler e-mails ou até mesmo abrir documentos do Word.
Embora o treinamento contínuo de conscientização seja uma maneira essencial de ficar à frente dos golpistas, também cheguei à conclusão de que as medidas punitivas não são tão bem-sucedidas. Qualquer pessoa encarregada da segurança cibernética precisa encontrar maneiras envolventes de incentivar os funcionários a prestar atenção em suas ações, respeitando seu tempo.
Você precisa de recompensa, não de punição, para obter a melhor resposta.
A gamificação do treinamento de segurança é uma maneira de criar um reforço positivo e recompensar as pessoas pelo bom comportamento, como reportar comunicações suspeitas. Por exemplo, incentivos como tabelas de classificação, recompensas em dinheiro, cartões-presente ou brindes da empresa podem oferecer motivos tangíveis para que colegas ocupados queiram se sair melhor no treinamento e saber mais sobre a evolução das ameaças de phishing.
Melhorar o treinamento é apenas um lado da moeda. Alguém acabará baixando a guarda, e as organizações precisam estar prontas para fortalecer continuamente sua postura de segurança cibernética.
O erro humano e a desatenção são duas das maiores ameaças à segurança de uma empresa. É impossível eliminar totalmente essas ameaças, mas a tecnologia pode ser aproveitada como uma rede de segurança para minimizar as que passam.
Começando com uma abordagem Zero Trust, as empresas também podem aproveitar ferramentas preventivas, como a identificação multifator (MFA) e a segurança preventiva de e-mail (que pode incluir o reconhecimento óptico de caracteres para digitalizar imagens) para aliviar a carga sobre a TI e a segurança.
Também é importante ter ferramentas de segurança de endpoints para automatizar o isolamento e a remoção de um dispositivo comprometido de sua rede. Assim como os golpistas utilizam a IA para seus ataques, a comunidade empresarial deve responder aplicando a IA para identificar e responder às violações de segurança com muito mais rapidez. Qualquer empresa que possa aproveitar essas tecnologias aumenta suas chances de evitar uma violação.
A segurança cibernética é muito importante para cobrir todas as bases. A Werner realiza testes de penetração em intervalos regulares, incluindo um teste de equipe vermelha, em que contratamos hackers éticos para tentar realizar um ataque à rede externamente. Essa prática ajuda a localizar vulnerabilidades.
Nossas equipes vermelhas também testam a segurança física. Eles andam pelos estacionamentos e verificam se há carros destrancados com notebooks, mochilas ou documentos no banco traseiro. Eles entram nos edifícios seguindo as pessoas que passam cartões magnéticos ou escaneiam crachás para entrar. Eles verificam se há notebooks e smartphones desbloqueados e sem supervisão e verificam se é possível roubar arquivos desses dispositivos. Compartilhar os resultados desses testes pode ser um ótimo alerta para os funcionários que talvez se sintam distantes das preocupações com a segurança cibernética.
Todo líder de TI reconhece os custos financeiros, operacionais e de reputação de uma violação e sabe que não pode economizar em tecnologia de segurança. O desafio é garantir que todos os demais membros da organização estejam igualmente atentos às ameaças.
Sou a favor da ação, da urgência e de manter as coisas simples. As empresas precisam acompanhar o ritmo das inovações de TI para se manterem competitivas, mas não podemos nos mover tão rapidamente a ponto de nos esquecermos de atender aos princípios básicos de segurança. A otimização de todos os aspectos das operações, dos sistemas e da infraestrutura não apenas reduzirá o erro humano, mas também reduzirá as despesas operacionais e de capital, possibilitando a alocação de mais fundos e recursos para a segurança cibernética, que deve ser tão robusta quanto o seu orçamento permitir.
O phishing custa milhões de dólares às empresas e pode interromper a produção e os serviços, afastar clientes e levar as empresas à falência. Se uma organização tentar "economizar dinheiro" em segurança cibernética ou reduzir o treinamento dos funcionários, ela colocará tudo em risco. Em vez disso, torne a segurança parte integrante de suas operações e cultura, dando ao seu pessoal e à sua empresa uma chance de lutar quando os malfeitores atacarem. A saúde e a segurança de nossas empresas exigem isso.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Daragh Mahon - @daraghmahon
EVP e CIO, Werner Enterprises
Após ler este artigo, você entenderá:
As operações e a cultura são essenciais para a segurança
Como equilibrar treinamento, teste de penetração e soluções para se manter à frente dos ataques