Não há uma única pessoa viva que nunca comete erros. Na verdade, cometer erros é uma parte essencial da experiência humana - é como crescemos e aprendemos. Ainda assim, na segurança cibernética, os erros humanos são muitas vezes esquecidos.
De acordo com um estudo da IBM, o erro humano é a principal causa de 95% das violações de segurança cibernética. Em outras palavras, se o erro humano de alguma forma foi totalmente eliminado, 19 das 20 violações cibernéticas podem nem ter ocorrido!
Então, por que o erro humano causa tantas violações e por que as soluções existentes não conseguiram resolvê-lo? Vamos dar uma olhada na história por trás do erro humano - e o que você pode fazer para melhorar o comportamento cibernético dos funcionários em sua organização.
O que é erro humano em segurança de computador?
Ao discutir o erro humano em segurança cibernética, o significado do termo é ligeiramente diferente de seu uso em termos mais gerais.
Em um contexto de segurança, erro humano significa ações não intencionais - ou falta de ação - por funcionários e usuários que causam, espalham ou permitem que uma violação de segurança ocorra.
Isso abrange uma vasta gama de ações - desde o download de um anexo infectado por malware até a falha no uso de uma senha forte - que é parte da razão pela qual pode ser tão difícil de resolver.
Com nossos ambientes de trabalho cada vez mais avançados e complicados, temos um número crescente de ferramentas e serviços que usamos - e temos nomes de usuário e senhas e outras coisas para lembrar para cada um deles. Isso tudo se soma e, quando não são fornecidas soluções alternativas e seguras, os funcionários começam a tomar atalhos para tornar a vida mais fácil para eles.
Como se isso não bastasse para que os usuários finais se esforcem para tomar as medidas corretas, eles também precisam lidar com a ameaça constante de criminosos cibernéticos que afetam sua tomada de decisões. A engenharia social tem um papel cada vez maior em todos os tipos de violações de segurança e é usada para explorar a capacidade dos funcionários de entregar dados ou credenciais nas mãos de agentes mal-intencionados, sem que eles tenham que escrever uma única linha de um programa de malware ou exploração de software .
Tipos de erro humano
Embora as oportunidades de erro humano sejam quase infinitas, elas podem ser categorizadas em dois tipos diferentes: erros baseados em habilidades e erros baseados em decisões. A diferença entre os dois se resume essencialmente a se a pessoa tinha ou não o conhecimento necessário para realizar a ação correta.
Erros baseados em habilidades
O erro humano baseado em habilidades consiste em deslizes e lapsos: pequenos erros que ocorrem ao realizar tarefas e atividades familiares. Nesses cenários, o usuário final sabe qual é o curso de ação correto, mas deixa de fazê-lo devido a um lapso temporário, erro ou negligência. Isso pode acontecer porque o funcionário está cansado, não prestando atenção, está distraído ou, de outra forma, tem um breve lapso de memória.
Erros baseados em decisão
Erros baseados em decisão ocorrem quando um usuário toma uma decisão errada. Pode haver uma série de fatores diferentes que influenciam isso: muitas vezes, inclui o usuário não ter o nível de conhecimento necessário, não ter informações suficientes sobre a circunstância específica ou nem mesmo perceber que está tomando uma decisão por meio de sua inação.
Saiba como o usecure ajuda as empresas a promover um comportamento seguro com treinamento de conscientização sobre segurança cibernética automatizado de forma inteligente - que seus funcionários vão adorar.
Exemplos de erro humano em negócios
O erro humano pode comprometer a segurança da sua empresa de várias maneiras diferentes, mas alguns tipos de erro se destacam em frequência acima de todos os outros. Vamos dar uma olhada em alguns desses erros altamente comuns.Entrega incorreta
Entrega incorreta - enviar algo para um destinatário errado - é uma ameaça comum à segurança de dados corporativos. De acordo com o relatório de violação de 2018 da Verizon, entrega incorreta foi a quinta causa mais comum de todas as violações de segurança cibernética. Com muitas pessoas dependendo de recursos como sugestão automática em seus clientes de e-mail, é fácil para qualquer usuário enviar acidentalmente informações confidenciais para a pessoa errada se não for cuidadoso.
Uma das violações de dados mais sérias causadas por erro humano foi quando um consultório do NHS revelou os endereços de e-mail (e, portanto, os nomes) de mais de 800 pacientes que visitaram clínicas de HIV. Como o erro aconteceu? O funcionário enviando uma notificação por e-mail para pacientes com HIV acidentalmente inseriu seus endereços de e-mail no campo “para”, em vez de no campo “bcc”, expondo seus detalhes uns aos outros. Este é um exemplo clássico de um erro baseado em habilidades, pois o funcionário sabia o curso de ação correto, mas simplesmente não tomou o cuidado suficiente para garantir que estava fazendo o que pretendia.
Problemas de senha
Pessoas e senhas simplesmente não se dão bem. Os fatos do relatório de 2019 do National Center for Cyber Security lançam uma imagem terrível: 123456 continua a ser a senha mais popular do mundo e 45% das pessoas reutilizam a senha de sua conta de e-mail principal em outros serviços. Além de não criar senhas fortes e exclusivas, os usuários não treinados cometem muitos outros erros de senha, incluindo escrever senhas em post-its em seus monitores ou compartilhá-las com colegas.
Patching
Os cibercriminosos estão constantemente em busca de novas explorações de software. Quando explorações são descobertas, os desenvolvedores de software correm para corrigir a vulnerabilidade e enviar o patch para todos os usuários antes que os criminosos cibernéticos possam comprometer mais usuários. É por isso que é essencial que os usuários instalem atualizações de segurança em seus computadores assim que estiverem disponíveis. Infelizmente, na maioria das vezes, os usuários finais atrasam a instalação de atualizações - e com resultados terríveis.
O ataque de ransomware WannaCry de 2017 afetou centenas de milhares de computadores em todo o mundo, custando a empresas e organizações milhões de dólares em danos. No entanto, o exploit usado pelo ataque, apelidado de ‘EternalBlue’, foi corrigido pela Microsoft meses antes dos ataques ocorrerem. Se os computadores afetados tivessem acabado de baixar e instalar a atualização de segurança, eles nunca teriam sido comprometidos.
Erros de segurança física
Embora as violações de dados sejam mais frequentemente atribuídas a ataques cibernéticos, as empresas também estão sujeitas a ameaças físicas. As informações confidenciais e as credenciais podem ser roubadas ou visualizadas por pessoas não autorizadas se elas obtiverem acesso a instalações seguras.
Erros de segurança física vêm em muitas formas diferentes, mas uma das mais comuns é deixar documentos confidenciais sem supervisão em mesas, salas de reunião ou até mesmo bandejas de saída da impressora. Qualquer pessoa que tenha acesso às instalações da empresa pode então simplesmente pegar o documento sem que ninguém perceba que ele sumiu.
Outro erro de segurança física altamente comum é permitir a utilização não autorizada. A utilização não autorizada é quando uma pessoa não autorizada segue alguém através de uma porta ou barreira de segurança - normalmente, simplesmente andando atrás dela. Muitos funcionários acharão rude contestar quem está seguindo atrás deles por uma porta, garantindo uma alta taxa de sucesso nas tentativas de uso não autorizado.
Que fatores causam o erro humano?
Há uma grande variedade de fatores que influenciam o erro humano, mas a maioria deles se resume a estes três: oportunidade, ambiente e falta de consciência.
Oportunidade
O erro humano só pode ocorrer onde houver oportunidade para isso. Isso pode parecer óbvio, mas o ponto é que quanto mais oportunidades houver de algo dar errado, maior será a chance de que um erro seja cometido em algum ponto.
Meio Ambiente
Existem muitos fatores ambientais que podem aumentar a probabilidade de ocorrência de erros.
O ambiente físico de um local de trabalho pode contribuir significativamente para o número de erros que ocorrem. Embora qualquer trabalhador do canteiro de obras possa dizer que os erros são mais comuns em dias muito quentes ou muito frios - essas considerações também se aplicam aos escritórios. Embora ter a temperatura certa para o escritório seja uma consideração importante, privacidade, nível de ruído e postura são fatores que podem contribuir para um ambiente mais sujeito a erros.
A cultura também desempenha um papel importante nas considerações ambientais. Freqüentemente, os usuários finais sabem o curso de ação correto, mas deixam de executá-lo porque existe uma maneira mais fácil de fazer as coisas ou eles simplesmente não acham que é importante. Ter uma cultura em que a segurança é sempre colocada em segundo plano fará com que os erros se tornem cada vez mais comuns.
Falta de consciência
Grande parte dos erros humanos resulta de usuários finais simplesmente não saberem qual é o curso de ação correto em primeiro lugar. Por exemplo, os usuários que não estão cientes do risco de phishing são muito mais propensos a cair em tentativas de phishing, e alguém que não conhece os riscos das redes Wi-Fi públicas terá suas credenciais coletadas rapidamente. A falta de conhecimento quase nunca é culpa do usuário - mas deve ser tratada pela organização a fim de garantir que seus usuários finais tenham o conhecimento e as habilidades de que precisam para manter a segurança deles e da empresa.
Como prevenir o erro humano em seu negócio?
O erro humano só pode ocorrer onde há oportunidade para fazê-lo e, como tal, é essencial eliminar as oportunidades de erro tanto quanto possível. Ao mesmo tempo, os usuários finais continuarão cometendo erros se não souberem quais são as ações corretas e quais são os riscos. Para quebrar essa lacuna, é essencial abordar o erro humano de ambos os lados para criar uma defesa abrangente para sua organização.
Reduza as oportunidades
Mudar suas práticas de trabalho, rotinas e tecnologias para reduzir sistematicamente a oportunidade de erro é a melhor maneira de iniciar seus esforços de mitigação. Embora a maneira como você consegue isso dependa das atividades e ambientes específicos do seu negócio, existem algumas diretrizes comuns para mitigar as oportunidades de erro humano.
Controle de privilégios: certifique-se de que seus usuários tenham acesso apenas aos dados e à funcionalidade de que precisam para desempenhar suas funções. Isso reduz a quantidade de informações que serão expostas, mesmo se o usuário cometer um erro que leve a uma violação.
Gerenciamento de senhas: como erros relacionados a senhas são o principal risco de erro humano, distanciar seus usuários de senhas pode ajudar a reduzir os riscos. Os aplicativos de gerenciamento de senhas permitem que seus usuários criem e armazenem senhas fortes sem ter que se lembrar delas ou correr o risco de anotá-las em post-its. Você também deve exigir o uso de autenticação de dois fatores em toda a sua empresa para adicionar uma camada extra de proteção às suas contas.
Mude sua cultura
Uma cultura focada na segurança é fundamental para reduzir o erro humano. Em uma cultura de segurança, a segurança é levada em consideração em cada decisão e ação, e os usuários finais procurarão ativamente e discutirão os problemas de segurança à medida que os encontrarem.
Existem várias coisas que você pode fazer para ajudar a construir uma cultura voltada para a segurança em sua organização.
Incentive a discussão. Uma das melhores maneiras de garantir que a segurança permaneça em primeiro plano é fazer as pessoas falarem sobre ela. Traga tópicos de discussão sobre segurança - e certifique-se de que eles sejam relevantes para as atividades diárias de trabalho de seus usuários finais, para que eles sejam mais propensos a se envolver. Isso os ajudará a ver o que cada um pode fazer pessoalmente para ajudar a manter a segurança de sua organização.
Torne mais fácil fazer perguntas. Como parte do processo de aprendizagem, seus usuários finais provavelmente se depararão com muitas situações em que não têm certeza das implicações de segurança. Nessas situações, você prefere que eles perguntem a você ou a outra pessoa com conhecimento, em vez de fazer uma suposição e correr o risco de fazer a escolha errada por si próprios. Certifique-se de que alguém esteja sempre disponível para responder a quaisquer perguntas dos usuários finais de maneira amigável e recompense os usuários que trouxerem boas perguntas.
Use cartazes e lembretes. Cartazes e dicas de segurança servem como pequenos lembretes para ajudar a garantir que seus usuários finais pensem na segurança durante todo o dia de trabalho. Um pôster com informações sobre senhas fortes irá, por exemplo, permitir que os usuários vejam facilmente quais são os requisitos para manter as contas da empresa seguras.
Aborde a falta de conhecimento com treinamento
Embora reduzir as oportunidades de erro seja essencial, você também deve abordar as causas do erro de um ângulo humano. Educar seus funcionários sobre noções básicas de segurança e práticas recomendadas permite que eles tomem decisões melhores e que eles mantenham a segurança em mente e busquem orientação adicional quando não tiverem certeza de quais são as consequências de uma determinada ação.
Treine os funcionários em todos os tópicos essenciais de segurança: como o erro humano pode se manifestar de uma grande variedade de maneiras diferentes, é essencial que você treine os funcionários em um nível básico em todos os tópicos de segurança que eles possam encontrar em suas atividades diárias de trabalho. Uso de e-mail, internet e mídia social, bem como treinamento de phishing e malware são apenas alguns dos tópicos que o treinamento deve cobrir.
O treinamento deve ser envolvente e relevante: seus funcionários têm períodos de atenção limitados e você precisa garantir que o treinamento deles não os fará apenas adormecer. Cursos de treinamento interativos que usam conteúdo de imagem e vídeo são muito mais eficazes do que sessões de PowerPoint de uma hora. O treinamento também não deve vir em sessões anuais das quais seus funcionários esquecerão uma semana depois, mas se repetirá regularmente ao longo de sua vida profissional em um formato breve e de fácil digestão.
Os humanos não precisam ser o elo mais fraco
Começamos este artigo com uma estatística assustadora sobre quantas violações são causadas por erro humano - mas há outra maneira de analisar essa estatística. Se 95% das violações são causadas por erro humano, mesmo as menores medidas para reduzir o erro humano podem criar enormes ganhos em segurança.
A mitigação do erro humano deve vir de dois ângulos: reduzindo oportunidades e educando os usuários. Quanto menos oportunidades houver para erros, menos seus usuários serão testados quanto ao conhecimento - e quanto mais conhecimento seus usuários têm, menos probabilidade de cometerem um erro, mesmo quando se deparam com uma oportunidade para fazê-lo.
A abordagem que promovemos na usecure o incentiva a ver o risco humano de uma luz diferente. Embora usuários finais não treinados possam ser o elo mais fraco para a segurança de sua organização, as ferramentas e o treinamento certos permitem que você os capacite em sua primeira linha de defesa contra qualquer ataque ou violação, protegendo seus negócios a longo prazo.
Saiba como o usecure ajuda as empresas a promover um comportamento seguro com treinamento de conscientização sobre segurança cibernética automatizado de forma inteligente - que seus funcionários vão adorar.
Comece a transformar humanos em sua linha de defesa mais forte
usecure é a solução de Gerenciamento de Risco Humano (GRM) que capacita as empresas a reduzir os incidentes de segurança relacionados ao usuário, construir uma força de trabalho ciber-resiliente e atingir padrões de conformidade através de programas automatizados de treinamento de usuários.
Com a confiança dos principais profissionais de TI e provedores de serviços gerenciados (MSPs), usecure análisa, reduz e monitora o risco cibernético humano através de programas de treinamento de conscientização de segurança orientados a riscos, campanhas de phishing simuladas, gerenciamento de políticas simplificado e monitoramento contínuo de violação da dark web - tudo em uma plataforma.
