Por Eder Souza*
As organizações são formadas por pessoas. Um negócio é nada sem o fator humano.
Quando pensamos em segurança cibernética, temos que ter em mente que ela não pode ser dissociada do comportamento das pessoas que trabalham nas organizações. Muitas falhas e riscos nascem dentro do ambiente de trabalho, assim como acontece com o usuário doméstico.
Mesmo que os funcionários não tenham más intenções, eles podem facilitar ou cometer falhas por desatenção, negligência, descuido ou erro pessoal e expor os dados e sistemas a riscos diversos quando clicam em um link de phishing ou usam senhas fracas.
As ameaças internas representam um dos maiores desafios em segurança digital, pois ocorrem a partir de ações de pessoas com acesso autorizado, com credenciais acima de suas atribuições, o que pode provocar vazamentos de dados ou quaisquer outros incidentes graves.
A identificação e o monitoramento desses comportamentos são fundamentais para prevenção. Há ferramentas tecnológicas para isso, mas as organizações devem compreender todo o cenário envolvido, com ênfase no comportamento humano e na cultura cibernética.
A cibersegurança é, primordialmente, uma questão comportamental e, portanto, a cultura da cibersegurança deve ser incentivada cotidianamente. É indispensável educar e conscientizar colaboradores sobre riscos, regras e boas práticas, antes mesmo de implementar as políticas e ferramentas técnicas.
Importância da humanização na segurança
As organizações devem atuar para humanizar a segurança digital, transformando-a em um ambiente saudável e de colaboração, agregando valor à operação, com proteção ao colaborador e promovendo um ambiente mais saudável e colaborativo.
Alguns dados relevantes que destacam a importância do fator humano para a cibersegurança foram apontados por uma pesquisa da IBM, com uma parcela significativa dos ciberataques e violações de dados estando ligada a fontes internas das organizações. Ou seja, partem de indivíduos que já possuem acesso legítimo a sistemas, sejam funcionários ou prestadores de serviços. Ex-colaboradores também estão na lista, acredite.
Identificar ameaças ainda desconhecidas
Apenas aprovar orçamentos financeiros para aquisição de tecnologias não é suficiente, se o fator humano estiver fora desta conta para os investimentos. Alinhar a segurança com as áreas de negócio e compliance também deve fazer parte da estratégia efetiva e integrada de cibersegurança. Para isso, toda a organização deve estar envolvida, não apenas delegando ao time de SI esta responsabilidade.
A Inteligência Artificial (IA) como aliada
A sociedade tem questionado se a Inteligência Artificial (IA) irá substituir os seres humanos. Em muitas tarefas, certamente sim. A tecnologia deve ser aplicada como aliada, porque ela é uma ferramenta indispensável para inovação e produtividade. Seu uso dentro da empresa deve ser monitorado para evitar vazamentos de dados sensíveis, mantendo um equilíbrio entre segurança e liberdade do usuário.
Integração entre segurança e o RH
A área dos Recursos Humanos deixou — nos últimos anos — de ser limitada à contratação de pessoal, políticas de férias e benefícios. Ela ampliou a sua colaboração para outras áreas e processos gerenciais e de negócios, justamente porque toda a organização envolve “recursos humanos”, entre os quais Agilidade/DevOps e, mais recentemente, cibersegurança para apoiar a capacitação das pessoas sobre os riscos envolvidos.
Para que toda a organização esteja empenhada na cibersegurança, todas as áreas precisam trabalhar de forma integrada, formando uma tríade que contempla regras, bem-estar do funcionário e prevenção de riscos, promovendo uma visão unificada e alinhada ao negócio.
Monitoramento ético e transparente
A linha entre segurança e invasão de privacidade é tênue e o monitoramento digital deve respeitar a privacidade, ser transparente e ético, com políticas claras, evitando abusos e construindo confiança entre colaboradores e gestores. A tecnologia deve ser humanizada e não invasiva. É fundamental, portanto, que as empresas estabeleçam políticas claras, definição de responsáveis e uso consciente das ferramentas para evitar abusos e manter o equilíbrio.
Tecnologias disponíveis para a análise comportamental para prevenção disponíveis oferecem recursos avançados para analisar comportamentos e identificar riscos e prevenir falhas humanas, adaptando-se rapidamente às novas ameaças e auxiliando na redução de incidentes causados por erro humano.
A cibersegurança deve ser aplicada como aliada das equipes, das pessoas que atuam em uma organização. Sendo vista como uma proteção ao colaborador, a tecnologia garante um sentimento seguro no ambiente de trabalho.
Educação e conscientização
A combinação entre cultura, educação e tecnologia é essencial para o sucesso da segurança cibernética. Está mostrado — e temos confirmado isso em nossa vivência diária com as empresas — que esta combinação é a base para as boas práticas de segurança. As ferramentas sozinhas não resolvem.
É necessário que as pessoas — do board à base da pirâmide organizacional — saibam como a cibersegurança funciona, o que fazer e o que evitar. A prevenção de falhas humanas é um processo dinâmico que exige atualização constante das regras e ferramentas de segurança.
Muitas organizações ainda enfrentam um desafio enorme neste quesito, mas o mercado de cibersegurança brasileiro está amadurecido e pode ajudá-las nesta jornada.
*Eder Souza CTO da e-Safer.
